PT-2022-9256 · Google · Data-Transfer-Project
Jlleitschuh
+1
·
Publicado
2022-03-29
·
Atualizado
2022-05-10
·
CVE-2021-22572
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do data-transfer-project anteriores à versão que inclui o commit https://github.com/google/data-transfer-project/pull/969
Descrição
O problema ocorre em sistemas do tipo Unix nos quais o diretório temporário do sistema é compartilhado entre todos os usuários, permitindo que qualquer informação confidencial gravada nesses arquivos fique visível para todos os outros usuários locais. Isso ocorre porque
File.createTempFile cria arquivos no diretório temporário do sistema com permissões de leitura para todos.Recomendações
Atualize para uma versão posterior ao commit https://github.com/google/data-transfer-project/pull/969 para resolver o problema. Como solução temporária, considere restringir o acesso ao diretório temporário do sistema para minimizar o risco de exposição de informações confidenciais.
Correção
Exposure of Resource to Wrong Sphere
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Data-Transfer-Project