PT-2021-15459 · Tyk · Tyk Gateway
Calabdean
·
Publicado
2021-03-15
·
Atualizado
2021-03-18
·
CVE-2021-23357
CVSS v3.1
5.3
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
Versões do Tyk Gateway (versões afetadas não especificadas)
Descrição
A vulnerabilidade permite a execução de traversal de diretórios, possibilitando a exclusão de arquivos JSON arbitrários no disco onde o Tyk está em execução. Isso é feito por meio da função
handleAddOrUpdateApi, que usa o APIID fornecido pelo usuário para criar um arquivo no disco. Se já existir um arquivo com o mesmo nome, ele será excluído e, em seguida, recriado com o conteúdo da solicitação de criação da API.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tyk Gateway