PT-2022-17609 · Unknown · Easy-Static-Server
Liran Tal
+1
·
Publicado
2022-12-20
·
Atualizado
2022-12-29
·
CVE-2022-25931
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Todas as versões do easy-static-server
Descrição
O problema surge devido à falta de sanitização de entradas e à ausência de sandboxes na entrada do usuário
req.url que é passada para o código do servidor, levando a um ataque de traversal de diretório.Recomendações
Para todas as versões, considere desativar o processamento da entrada
req.url até que uma correção adequada seja implementada para sanitizar a entrada e impedir ataques de traversal de diretório. Restrinja o acesso a diretórios e arquivos confidenciais para minimizar o risco de exploração.Exploit
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Easy-Static-Server