PT-2021-23627 · Rasa · Rasa X
Rasa-Jmac
·
Publicado
2021-10-22
·
Atualizado
2021-10-28
·
CVE-2021-42556
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Rasa X anteriores à 0.42.4
Descrição
A vulnerabilidade permite a traversal de diretórios durante a extração de arquivos compactados. Na funcionalidade que permite ao usuário carregar um arquivo de modelo treinado, um invasor tem capacidade de gravação arbitrária em diretórios específicos por meio de um arquivo compactado especialmente criado.
Recomendações
Para versões anteriores à 0.42.4, atualize para a versão 0.42.4 ou posterior para resolver o problema. Como solução temporária, considere restringir a funcionalidade que permite aos usuários carregar arquivos de modelos treinados até que um patch seja aplicado. Evite usar arquivos de arquivo criados especificamente para explorar a vulnerabilidade de traversal de diretório.
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Rasa X