Huawei GaussDB 200目录遍历漏洞

Huawei GaussDB 200目录遍历漏洞

 Huawei GaussDB 200是中国华为（Huawei）公司的一套基于开源数据库Postgres-XC开发的分布式并行关系型数据库系统。

一、漏洞分析

公开日期：2020-01-24

漏洞编号：CNVD-2020-03247/CVE-2020-1853

危害等级：高危

漏洞描述：Huawei GaussDB 200 6.5.1版本中存在目录遍历漏洞，该漏洞源于未能对输入路径进行有效验证。攻击者可利用该漏洞下载文件到指定的目录，导致信息泄露。

二、漏洞影响范围

 Huawei GaussDB 200 6.5.1

三、漏洞处置建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20200120-01-path-cn