PT-2022-9806 · Beego · Beego
Toptotuo
·
Publicado
2022-04-05
·
Atualizado
2022-04-12
·
CVE-2021-27116
CVSS v3.1
7.8
Alta
| Vetor | AC:L/AV:L/A:H/C:H/I:H/PR:L/S:U/UI:N |
Nome do software vulnerável e versões afetadas
Versões do beego até a 2.0.2
Descrição
Foi descoberta uma vulnerabilidade no arquivo profile.go, especificamente na função
MemProf, que permite que invasores realizem ataques de link simbólico localmente. Isso ocorre porque as funções MemProf e GetCPUProfile não verificam corretamente se o arquivo criado existe, permitindo que invasores possam escalar privilégios.Recomendações
Para as versões do beego até a 2.0.2, considere desativar as funções
MemProf e GetCPUProfile como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao arquivo profile.go para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Link Following
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Beego