PT-2020-18370 · Typelevel · Http4S
Thomas Gøytil
·
Publicado
2020-03-25
·
Atualizado
2020-03-30
·
CVE-2020-5280
CVSS v3.1
7.6
Alta
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do http4s anteriores à 0.18.26
Versões do http4s anteriores à 0.20.20
Versões do http4s anteriores à 0.21.2
Descrição
O problema afeta todos os usuários de org.http4s.server.staticcontent.FileService, org. http4s.server.staticcontent.ResourceService e org.http4s.server.staticcontent.WebjarService. A normalização de URI é aplicada incorretamente, permitindo que solicitações com informações de caminho contendo ../ ou // exponham recursos fora do local configurado. Isso pode levar à exposição de arquivos no sistema de arquivos local ou de recursos no caminho de classe. A vulnerabilidade também envolve problemas de correspondência de prefixos e decodificação de URI, o que pode causar a exposição incorreta de recursos.
Recomendações
Para versões anteriores à 0.18.26, atualize para a versão 0.18.26 ou posterior.
Para versões anteriores à 0.20.20, atualize para a versão 0.20.20 ou posterior.
Para versões anteriores à 0.21.2, atualize para a versão 0.21.2 ou posterior.
Como solução temporária, considere copiar os arquivos corrigidos FileService.scala, ResourceService.scala e WebjarService.scala da série de lançamento apropriada para o seu projeto e recompilar com eles, alterando o nome do pacote e a referência em seu aplicativo.
Usuários de um backend de servlet podem usar os recursos de serviço de arquivos do contêiner de servlets como alternativa.
Correção
Relative Path Traversal
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Http4S