PT-2020-13073 · Gigamon · Gigavue
Balazs Hambalko
·
Publicado
2020-04-29
·
Atualizado
2020-05-18
·
CVE-2020-12251
CVSS v2.0
3.5
Baixa
| Vetor | AV:N/AC:M/Au:S/C:P/I:N/A:N |
Nome do software vulnerável e versões afetadas
Gigamon GigaVUE versão 5.5.01.11
Descrição
Foi detectada uma falha na funcionalidade de upload, permitindo que um usuário autenticado altere o valor do nome do arquivo no método POST para realizar um traversal de diretório por meio de uma sequência ../. Isso poderia permitir que um invasor obtivesse uma lista completa dos diretórios da máquina.
Recomendações
Para o Gigamon GigaVUE versão 5.5.01.11, considere restringir o acesso à funcionalidade de upload até que um patch esteja disponível. Como solução temporária, evite usar o valor do nome do arquivo no método POST para prevenir ataques de traversal de diretório. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gigavue