PT-2022-20466 · Bleve+1 · Bleve+1
Abhinavdangeti
·
Publicado
2022-06-01
·
Atualizado
2025-07-03
·
CVE-2022-31022
CVSS v3.1
6.2
Média
| Vetor | AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Bleve (versões afetadas não especificadas)
Descrição
O problema diz respeito ao pacote bleve/http, que é utilizado para fins de demonstração e carece de autenticação, autorização e validação das entradas do usuário. Isso permite que invasores explorem o sistema de arquivos de um nó onde reside o índice bleve, criando um índice bleve ou excluindo diretórios de forma recursiva. Os usuários que utilizaram o pacote bleve/http sem tratamento explícito para Controles de Acesso Baseados em Função (RBAC) são afetados.
Recomendações
Não utilize o pacote bleve/http em cenários de produção, pois ele se destina apenas a fins de demonstração.
Como solução temporária, considere desativar as funções CreateIndexHandler e DeleteIndexHandler até que medidas alternativas sejam implementadas.
Restrinja o acesso ao índice bleve para minimizar o risco de exploração.
Evite usar o pacote bleve/http sem implementar controles de acesso baseados em função (RBAC) explícitos para os ativos do índice.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Missing Authentication
Authentication Bypass Using an Alternate Path or Channel
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Bleve
Debian