PT-2022-16012 · Galaxy · Galaxy
Ghepardo
·
Publicado
2022-12-06
·
Atualizado
2022-12-08
·
CVE-2022-23470
CVSS v3.1
8.6
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões 22.01 e superiores do Galaxy
Descrição
O Galaxy é uma plataforma de código aberto para análise de dados. Existe uma vulnerabilidade de leitura de arquivo arbitrário devido à migração para o Gunicorn, que pode ser usada para ler qualquer arquivo acessível ao usuário do sistema operacional no qual o Galaxy está sendo executado. Esse problema é mitigado ao usar o Nginx ou o Apache para servir o conteúdo de /static/*, em vez do middleware interno do Galaxy.
Recomendações
Para as versões 22.01 e superiores do Galaxy, recomenda-se que os usuários apliquem manualmente o patch em suas instalações usando o commit
e5e6bda4f. Como solução alternativa temporária, considere usar o Nginx ou o Apache para servir o conteúdo de /static/* em vez do middleware interno do Galaxy, a fim de minimizar o risco de exploração.Exploit
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Galaxy