PT-2022-25191 · Hertz · Hertz
Ruokeqx
·
Publicado
2022-09-28
·
Atualizado
2022-10-05
·
CVE-2022-40082
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Hertz anteriores à 0.3.1
Descrição
O problema está relacionado a uma vulnerabilidade de traversal de caminho por meio da função
normalizePath. Essa vulnerabilidade é causada por uma sanitização inadequada de caminho no Windows, o que permite ataques de traversal de caminho. Especificamente, ao usar as funções Static ou StaticFS para servir arquivos estáticos, um invasor pode acessar arquivos de fora da raiz do sistema de arquivos. Esse problema não afeta sistemas que não sejam Windows.Recomendações
Para versões anteriores à 0.3.1, atualize para a versão 0.3.1 para resolver o problema.
Como solução temporária, considere desativar a função
normalizePath ou restringir o acesso às funções Static e StaticFS até que um patch seja aplicado.Exploit
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hertz