PT-2021-9736 · Loklak · Loklak
Intrigus-Lgtm
·
Publicado
2021-02-02
·
Atualizado
2021-02-08
·
CVE-2020-15097
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do loklak até o commit 5f48476
Descrição
O aplicativo de servidor loklak contém uma vulnerabilidade de traversal de caminho devido à validação insuficiente de entradas nas APIs. Isso permite uma vulnerabilidade de traversal de diretório, possibilitando que um invasor recupere qualquer configuração administrativa e arquivos legíveis pelo aplicativo disponíveis no sistema de arquivos hospedado. Além disso, conteúdo controlado pelo usuário poderia ser gravado em qualquer configuração administrativa e arquivos legíveis pelo aplicativo.
Recomendações
Para resolver o problema, os usuários precisarão atualizar suas instâncias hospedadas do loklak para uma versão posterior ao commit 5f48476, especificamente para uma versão que inclua o patch do commit 50dd692. Como solução alternativa temporária, considere restringir o acesso a configurações e arquivos administrativos confidenciais para minimizar o risco de exploração.
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Loklak