PT-2022-27034 · Ibm · Ibm Navigator For I

Amine Ismail

Publicado

2022-12-22

Atualizado

2022-12-28

CVE-2022-43857

CVSS v3.1

4.3

Média

Vetor

AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Nome do software vulnerável e versões afetadas

IBM Navigator for i, versões 7.3 a 7.5

Descrição

A vulnerabilidade permite que um usuário autenticado acesse os arquivos de log do IBM Navigator for i para os quais tem autorização, mas não por meio dessa interface. O usuário remoto autenticado pode contornar as verificações da interface e baixar arquivos de log modificando o filtro de servlet.

Recomendações

Para as versões 7.3 a 7.5, considere restringir o acesso ao filtro de servlet para impedir downloads não autorizados de arquivos de log até que um patch esteja disponível. Como solução alternativa temporária, modificar as verificações da interface para impedir a contornagem pode ajudar a minimizar o risco de exploração.

Correção

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-22

Identificadores relacionados

CVE-2022-43857

Produtos afetados

Ibm Navigator For I

PT-2022-27034 · Ibm · Ibm Navigator For I

CVE-2022-43857

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 6