PT-2024-26126 · Oceanic · Oceanic
Vendicated
·
Publicado
2024-05-14
·
Atualizado
2024-05-14
·
CVE-2024-34712
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Oceanic anteriores à 1.10.4
Descrição
O problema decorre da falta de codificação de URL para entradas em determinadas funções, como
Client.rest.channels.removeBan. Isso permite que entradas especialmente criadas, como ../../../channels/{id}, sejam normalizadas na URL /api/v10/channels/{id}, resultando em ações indesejadas, como excluir um canal em vez de remover um banimento.Recomendações
Para versões anteriores à 1.10.4, considere atualizar para a versão 1.10.4 para resolver o problema.
Como solução temporária, considere sanitizar as entradas do usuário para garantir que as strings sejam válidas para o uso pretendido.
Como alternativa, codifique as entradas com
encodeURIComponent antes de fornecê-las à biblioteca.Exploit
Correção
Path traversal
Relative Path Traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Oceanic