PT-2022-23988 · Neo4J · Neo4J Apoc
Jonathan Leitschuh
·
Publicado
2022-08-12
·
Atualizado
2022-08-16
·
CVE-2022-37423
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões 4.3.0.0 a 4.3.0.6 do Neo4j APOC
Versões 4.4.0.0 a 4.4.0.7 do Neo4j APOC
Descrição
Existe uma vulnerabilidade de traversal de diretório, permitindo o acesso a diretórios irmãos por meio da função
apoc.log.stream. Esta vulnerabilidade é limitada a diretórios irmãos. Por exemplo, se um caminho controlado pelo usuário começar com “/usr/out”, um invasor poderia acessar um diretório chamado “/usr/outnot”.Recomendações
Para as versões 4.3.0.0 a 4.3.0.6 do Neo4j APOC, atualize para a versão 4.3.0.7.
Para as versões 4.4.0.0 a 4.4.0.7 do Neo4j APOC, atualize para a versão 4.4.0.8.
Como solução alternativa temporária, considere controlar a lista de funções permitidas que podem ser usadas em seu sistema, configurando a opção
dbms.security.procedures.allowlist.Exploit
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Neo4J Apoc