PT-2024-13803 · Unknown · Lif Auth Server
Superior126
·
Publicado
2024-01-12
·
Atualizado
2024-01-22
·
CVE-2023-49801
CVSS v3.1
4.2
Média
| Vetor | AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Lif Auth Server anteriores à 1.4.0
Descrição
O problema está relacionado às rotas
get pfp e get banner no Auth Server, onde não há verificação para garantir que o arquivo recebido por meio dessas URLs esteja correto. Isso poderia permitir que um invasor acessasse arquivos aos quais não deveria ter acesso.Recomendações
Para versões anteriores à 1.4.0, atualize para a versão 1.4.0 para resolver o problema. Como solução temporária, considere restringir o acesso às rotas
get pfp e get banner até que a atualização seja aplicada.Exploit
Correção
Path traversal
Relative Path Traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Lif Auth Server