Hashnode博客平台中报告的严重LFI漏洞

研究人员在Hashnode（一个面向开发者的博客平台）中发现了一个以前未记录的本地文件包含（LFI）漏洞，该漏洞可能被滥用以访问敏感数据，如SSH密钥、服务器IP地址和其他网络信息。

Akamai研究人员在与《黑客新闻》共享的一份报告中表示：“LFI源自批量降价导入功能，可对其进行操纵，使攻击者能够不受阻碍地从Hashnode的服务器下载本地文件”。

当web应用程序被骗在服务器上公开或运行未经批准的文件时，就会出现本地文件包含缺陷，从而导致目录遍历、信息泄露、远程代码执行和跨站点脚本（XSS）攻击。

该漏洞是由于web应用程序未能对作为输入传递的文件路径进行充分清理而导致的，攻击者可能会导航到服务器上的任何路径并访问敏感信息，包括包含服务器上用户列表的/etc/passwd文件，从而产生严重影响。

有了这个漏洞，研究人员称他们能够识别与服务器相关的IP地址和私有安全外壳（SSH）密钥。

虽然漏洞已经得到解决，但结果是Akamai说它记录了超过五十亿个LFI攻击在2021年9月1日和2022年2月28日之间，比前六个月增加了141%。

研究人员说：“LFI攻击是一种攻击向量，它会对组织造成重大损害，因为威胁者可以获取有关未来侦察网络的信息”。