PT-2020-14768 · Tgstation · Tgstation-Server
Alexkar598
·
Publicado
2020-07-31
·
Atualizado
2021-07-21
·
CVE-2020-16136
CVSS v3.1
7.7
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões 4.4.0 a 4.4.1 do tgstation-server
Descrição
A vulnerabilidade permite que um usuário autenticado com permissões para baixar logs acesse qualquer arquivo na máquina do servidor utilizando sequências de traversal de diretório em solicitações à pasta /Administration/Logs/. No entanto, o invasor não consegue enumerar arquivos.
Recomendações
Para as versões 4.4.0 e 4.4.1 do tgstation-server, considere restringir o acesso ao endpoint /Administration/Logs/ até que uma correção esteja disponível e limite o acesso ao sistema de arquivos para o processo do servidor, a fim de minimizar possíveis danos.
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tgstation-Server