PT-2022-20794 · Unknown+1 · Paddlepaddle/Anakin+1

Ghost

Publicado

2022-07-11

Atualizado

2022-07-15

CVE-2022-31523

CVSS v3.1

9.3

Crítica

Vetor

AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:L

Nome do software vulnerável e versões afetadas

PaddlePaddle/Anakin até a versão 0.1.1

Descrição

A vulnerabilidade permite o traversal de caminho absoluto devido ao uso inseguro da função send file do Flask.

Recomendações

Para versões até 0.1.1, considere restringir o acesso à função send file até que um patch esteja disponível.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

CVE-2022-31523

Flask

Paddlepaddle/Anakin