PT-2022-11681 · Neo4J · Neo4J Graph Database
Nicolai Grødum
·
Publicado
2022-02-01
·
Atualizado
2022-10-04
·
CVE-2021-42767
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Banco de dados de grafos Neo4J, versões 4.0.0 a 4.3.6
Banco de dados de grafos Neo4J, versões anteriores à 3.5.17
Banco de dados de grafos Neo4J, versões anteriores à 4.2.10
Versões do banco de dados de grafos Neo4J anteriores à 4.3.0.4
Versões do banco de dados de grafos Neo4J anteriores à 4.4.0.1
Descrição
Uma vulnerabilidade de traversal de diretório nos plug-ins Apoc do banco de dados de grafos Neo4J permite que invasores leiam arquivos locais e, em alguns casos, criem arquivos locais. O invasor pode recuperar e baixar arquivos de fora do diretório configurado no servidor afetado.
Recomendações
Para a versão 3.5 do banco de dados de grafos Neo4J, atualize para a versão 3.5.17 ou posterior.
Para a versão 4.2 do banco de dados de grafos Neo4J, atualize para a versão 4.2.10 ou posterior.
Para o banco de dados Neo4J Graph versão 4.3, atualize para a versão 4.3.0.4 ou posterior.
Para o banco de dados Neo4J Graph versão 4.4, atualize para a versão 4.4.0.1 ou posterior.
Como solução alternativa temporária, considere controlar a lista de permissões das funções que podem ser usadas em seu sistema, configurando a opção
dbms.security.procedures.allowlist.Exploit
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Neo4J Graph Database