PT-2022-26136 · Wsgidav · Wsgidav
Parente5C757D
·
Publicado
2022-11-11
·
Atualizado
2022-11-16
·
CVE-2022-41905
CVSS v3.1
8.2
Alta
| Vetor | AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do WsgiDAV anteriores à 4.1.0
Descrição
Implementações que utilizam esta biblioteca com a navegação por diretórios ativada podem estar suscetíveis a ataques de Cross Site Scripting (XSS). Esse problema ocorre quando dados não confiáveis são exibidos na interface do usuário do navegador de diretórios, como o “realm” ou o nome de usuário. Um invasor não pode explorar essa vulnerabilidade simplesmente enviando um arquivo ou pasta com um nome de arquivo manipulado.
Recomendações
Para versões anteriores à 4.1.0, atualize para a versão 4.1.0 para resolver o problema.
Como solução alternativa temporária, defina
dir browser.enable = False na configuração para impedir a navegação por diretórios e minimizar o risco de exploração. Por exemplo, ao usar um dicionário Python para configurar a biblioteca, use a seguinte configuração:
config = {
# sua configuração normal
“dir browser”: {
“enable”: False
},
}
app = WsgiDAVApp(config)
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wsgidav