PT-2022-28177 · Afire · Afire
Publicado
2022-04-22
·
Atualizado
2022-04-22
Nenhuma
Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do software vulnerável e versões afetadas
Versões do afire anteriores à 1.1.0
Descrição
Este problema afeta a extensão serve static integrada no afire, permitindo que caminhos contendo
//.... contornem a sanitização de caminhos anterior e solicitem arquivos em diretórios superiores que não deveriam estar acessíveis.Recomendações
Para versões anteriores à 1.1.0, atualize para a versão mais recente do afire, que é a 1.1.0.
Como solução alternativa temporária para versões anteriores à 1.1.0, considere adicionar o middleware PathTraversalFix para proibir caminhos contendo
/.. e retornar um código de status 400 para tais solicitações.Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Afire