CVE-2024-49770

Nome do software vulnerável e versões afetadas:

versões do oak anteriores à 17.1.3

Descrição:

A vulnerabilidade permite que um invasor contorne a restrição padrão à transferência de arquivos ocultos usando a API Context.send, codificando / como sua forma codificada em URL, %2F. Isso pode levar à leitura de dados confidenciais do usuário ou ao acesso a segredos do servidor. A função isHidden apresenta falha, pois verifica apenas se o primeiro subcaminho está oculto, permitindo que segredos sejam lidos em subdir/.env. A vulnerabilidade pode ser explorada usando pontos de extremidade da API, como /poc%2f../.env ou /poc%2f../.git/config, para acessar arquivos confidenciais.

Recomendações:

Para versões anteriores à 17.1.3, atualize para a versão 17.1.3 para corrigir o problema. Como solução temporária, considere restringir o acesso à API Context.send ou desativar a função isHidden até que um patch esteja disponível. Evite usar a função decodeComponent para decodificar URLs, pois isso pode permitir que um invasor contorne a restrição à transferência de arquivos ocultos.