PT-2020-13978 · Librepo+3 · Librepo+3

Mauro Matteo Cascella

+2

·

Publicado

2020-08-13

·

Atualizado

2021-03-05

·

CVE-2020-14352

CVSS v2.0

8.5

Alta

VetorAV:N/AC:M/Au:S/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Versões do librepo anteriores à 1.12.1
Descrição
Foi detectada uma vulnerabilidade de traversal de diretório no librepo, na qual o software não sanitizava os caminhos nos metadados de repositórios remotos. Isso poderia permitir que um invasor, ao controlar um repositório remoto, copiasse arquivos para fora do diretório de destino no sistema visado por meio de traversal de caminho, resultando potencialmente no comprometimento do sistema pela sobrescrita de arquivos críticos. A maior ameaça é para usuários que utilizam repositórios de terceiros não confiáveis.
Recomendações
Para versões anteriores à 1.12.1, atualize para a versão 1.12.1 ou posterior para resolver o problema. Como solução temporária, considere evitar o uso de repositórios de terceiros não confiáveis até que a atualização seja aplicada.

Correção

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-22

Identificadores relacionados

CESA-2020_3658
CESA-2020_5012
CVE-2020-14352
MGASA-2020-0429
OESA-2021-1055
OPENSUSE-SU-2020:1289-1
OPENSUSE-SU-2020:1428-1
OPENSUSE-SU-2020_1289-1
OPENSUSE-SU-2021:0277-1
OPENSUSE-SU-2021:0295-1
OPENSUSE-SU-2021_0277-1
OPENSUSE-SU-2024:10984-1
RHSA-2020:3658
RHSA-2020:3749
RHSA-2020:3756
RHSA-2020:5012
RHSA-2020_3658
RHSA-2020_5012

Produtos afetados

Centos
Red Hat
Suse
Librepo