PT-2022-1771 · Unknown · Log4Js-Node
Ranjit-Git
·
Publicado
2022-01-19
·
Atualizado
2023-02-03
·
CVE-2022-21704
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do log4js-node anteriores à 6.4.0
Descrição
O problema está relacionado às permissões padrão dos arquivos de log criados pelos appenders file, fileSync e dateFile no log4js-node, que são legíveis por todos no sistema Unix. Isso pode causar problemas se os arquivos de log contiverem informações confidenciais, afetando usuários que não tenham definido suas próprias permissões para os arquivos por meio do parâmetro mode na configuração.
Recomendações
Para versões anteriores à 6.4.0, atualize para log4js@6.4.0 para corrigir o problema. Como solução alternativa temporária, considere passar o parâmetro mode para a configuração dos appenders de arquivo para definir permissões personalizadas, conforme permitido por todas as versões do log4js.
Exploit
Correção
Incorrect Default Permissions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Log4Js-Node