CVE-2024-47883

Versões do framework Butterfly anteriores à 1.2.6

O framework Butterfly apresenta uma vulnerabilidade relacionada à restrição incorreta do nome do caminho para um diretório com acesso limitado. Isso pode ser explorado por um invasor com acesso à rede da aplicação para obter acesso a arquivos no sistema de arquivos do servidor ou compartilhados por máquinas próximas. Um invasor também pode direcionar ou redirecionar um usuário para uma URL maliciosa pertencente ao aplicativo, fazendo com que um JavaScript arbitrário controlado pelo invasor seja carregado no navegador da vítima. Além disso, se um aplicativo for escrito de forma que um invasor possa influenciar o nome do recurso usado para um modelo, o invasor poderia fazer com que o aplicativo buscasse e executasse um modelo controlado por ele.

O método edu.mit.simile.butterfly. converte um nome de recurso em uma URL. Se o nome do recurso já começar com file:/, ele é passado sem modificações, e não há verificação de que a URL resultante esteja dentro do diretório esperado ou na mesma máquina. A implementação padrão para processemButterflyModuleImpl` é servir um recurso nomeado, tornando-o vulnerável. A biblioteca de modelos Velocity também é vulnerável se os nomes dos recursos de modelo puderem ser manipulados por um invasor.

Para versões anteriores à 1.2.6, atualize para a versão 1.2.6 ou posterior para corrigir a vulnerabilidade. Como solução temporária, considere restringir o acesso ao esquema de URL file:/ a min