PT-2022-27298 · Knime · Knime Server
Publicado
2022-11-24
·
Atualizado
2022-11-30
·
CVE-2022-44748
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do KNIME Server 4.3.0 a 4.13.5
Versões do KNIME Server 4.14.0 a 4.14.2
Versões do KNIME Server 4.15.0 a 4.15.2
Descrição
Uma vulnerabilidade de traversal de diretório nas rotinas de extração de arquivos ZIP pode resultar na sobrescrita de arquivos arbitrários no sistema de arquivos do servidor, também conhecida como “Zip-Slip”. Um invasor pode criar um fluxo de trabalho KNIME que, ao ser carregado, pode sobrescrever arquivos arbitrários aos quais o usuário do sistema operacional que executa o processo do KNIME Server tenha acesso de gravação. O usuário deve estar autenticado e ter permissões para enviar arquivos para o KNIME Server. Isso pode afetar a integridade dos dados ou causar erros em outros softwares, e pode até mesmo levar à execução remota de código se arquivos executáveis forem substituídos e subsequentemente executados pelo usuário do processo do KNIME Server.
Recomendações
Para as versões 4.3.0 a 4.13.5 do KNIME Server, atualize para a versão 4.13.6.
Para as versões 4.14.0 a 4.14.2 do KNIME Server, atualize para a versão 4.14.3.
Para as versões 4.15.0 a 4.15.2 do KNIME Server, atualize para a versão 4.15.3.
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Knime Server