PT-2020-19680 · Jooby · Jooby
Jknack
·
Publicado
2020-05-11
·
Atualizado
2020-05-14
·
CVE-2020-7647
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
io.jooby:jooby versões anteriores à 1.6.7
org.jooby:jooby versões anteriores à 1.6.7
io.jooby:jooby versões 2.0.0 a 2.8.2
org.jooby:jooby versões 2.0.0 a 2.8.2
Descrição
A vulnerabilidade permite o acesso a informações confidenciais disponíveis no classpath por meio de traversal de diretório. Isso pode ser feito por meio de dois vetores distintos. Ao compartilhar um diretório do sistema de arquivos, o classpath também é pesquisado em busca do arquivo, permitindo que um invasor acesse arquivos de configuração ou arquivos de classe do aplicativo. Além disso, os recursos configurados para acessar recursos a partir da raiz do classpath podem ser percorridos, permitindo que um invasor acesse informações confidenciais.
Recomendações
Para versões do io.jooby:jooby anteriores à 1.6.7, atualize para a versão 1.6.7.
Para versões do org.jooby:jooby anteriores à 1.6.7, atualize para a versão 1.6.7.
Para versões do io.jooby:jooby de 2.0.0 a 2.8.2, atualize para a versão 2.8.2.
Para as versões 2.0.0 a 2.8.2 do org.jooby:jooby, atualize para a versão 2.8.2.
Como solução temporária, considere restringir o acesso a informações confidenciais disponíveis no classpath até que um patch esteja disponível. Evite usar a função
assets com diretórios do sistema de arquivos ou recursos do classpath até que o problema seja resolvido.Exploit
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jooby