PT-2021-12005 · Vaadin · Com.Vaadin:Flow-Server
Publicado
2021-04-19
·
Atualizado
2021-05-05
·
CVE-2020-36321
CVSS v3.1
5.9
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
**Nome do software vulnerável e versões afetadas:
com.vaadin:flow-server, versões 2.0.0 a 2.4.1
com.vaadin:flow-server, versões 3.0 anteriores à 5.0
Descrição:
O problema está relacionado à validação inadequada de URLs no manipulador do modo de desenvolvimento, permitindo que um invasor solicite arquivos arbitrários armazenados fora da pasta de recursos do front-end prevista.
Recomendações:
Para as versões 2.0.0 a 2.4.1 do com.vaadin:flow-server, atualize para a versão 2.4.2 ou posterior para resolver o problema.
Para as versões 3.0 anteriores à 5.0 do com.vaadin:flow-server, atualize para a versão 5.0 ou posterior para resolver o problema.
Como solução temporária, considere desativar o manipulador do modo de desenvolvimento até que um patch esteja disponível.
Correção
RCE
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Com.Vaadin:Flow-Server