PT-2022-16870 · Unknown · Cyclonedx Bom Repository Server
Florian Grunow
·
Publicado
2022-03-22
·
Atualizado
2023-06-30
·
CVE-2022-24774
CVSS v3.1
7.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:L |
Nome do software vulnerável e versões afetadas
Versões do CycloneDX BOM Repository Server anteriores à 2.0.1
Descrição
O CycloneDX BOM Repository Server apresenta uma falha na validação de entradas que leva a um problema de traversal de caminho. Isso poderia permitir que um usuário mal-intencionado criasse diretórios arbitrários ou causasse uma negação de serviço ao excluir diretórios arbitrários. A vulnerabilidade não pode ser explorada se os métodos POST e DELETE estiverem desativados, o que é a configuração padrão. Isso pode ser feito modificando o arquivo
appsettings.json ou definindo as variáveis de ambiente ALLOWEDMETHODS POST e ALLOWEDMETHODS DELETE como false.Recomendações
Para versões do CycloneDX BOM Repository Server anteriores à 2.0.1, atualize para a versão 2.0.1 para resolver o problema.
Como solução alternativa temporária, considere modificar o arquivo
appsettings.json para desativar os métodos post e delete, ou defina as variáveis de ambiente ALLOWEDMETHODS POST e ALLOWEDMETHODS DELETE como false para impedir a exploração.Exploit
Correção
Path traversal
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Cyclonedx Bom Repository Server