PT-2021-7353 · Apache+6 · Apache Subversion+6
Evgeny Kotkov
·
Publicado
2021-04-12
·
Atualizado
2024-12-23
·
CVE-2021-28544
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Apache Subversion anteriores à versão corrigida
Descrição
A vulnerabilidade está relacionada a uma falha na autorização no sistema centralizado de controle de versão Apache Subversion. A exploração dessa vulnerabilidade permite que um invasor remoto acesse dados confidenciais. Especificamente, os servidores Subversion revelam os caminhos ‘copyfrom’ que deveriam estar ocultos de acordo com as regras de autorização baseadas em caminhos configuradas. Quando um nó é copiado de um local protegido, os usuários com acesso à cópia podem ver o caminho ‘copyfrom’ do original, revelando o fato de que o nó foi copiado. Apenas o caminho ‘copyfrom’ é revelado, não seu conteúdo. Tanto os servidores httpd quanto os svnserve estão vulneráveis.
Recomendações
Como solução temporária, considere restringir o acesso ao caminho
copyfrom para minimizar o risco de exploração.Para versões anteriores à versão corrigida, atualize para a versão mais recente para resolver o problema.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Information Disclosure
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Apache Subversion
Astra Linux
Linuxmint
Apple Macos
Suse
Ubuntu