BDU:2023-01983

Опубликовано: 02 апр. 2023

Источник: fstec

CVSS3: 7.3

CVSS2: 7.5

EPSS Средний

Описание

Уязвимость функции загрузки файлов распределенной файловой системы sjqzhang go-fastdfs связана с недостатками проверки имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, записывать произвольные файлы, а так же выполнить произвольные команды

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

sjqzhang go-fastdfs

Версия ПО

до 1.4.3 включительно (sjqzhang go-fastdfs)

Тип ПО

Микропрограммный код

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)

Возможные меры по устранению уязвимости

Компенсирующие меры:

- проверка прав доступа: приложение должно проверять, имеет ли пользователь права доступа к файлам или каталогам;

- использование абсолютных путей: приложение должно использовать абсолютные пути к файлам и каталогам.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-1800
CVE

EPSS

Процентиль: 96%

0.25667

Средний

7.3 High

CVSS3

7.5 High

CVSS2

Связанные уязвимости

CVE-2023-1800

CVSS3: 7.3

nvd

почти 3 года назад

A vulnerability, which was classified as critical, has been found in sjqzhang go-fastdfs up to 1.4.3. Affected by this issue is the function upload of the file /group1/uploa of the component File Upload Handler. The manipulation leads to path traversal: '../filedir'. The attack may be launched remotely. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-224768.

GHSA-xq3x-grrj-fj6x

CVSS3: 9.8

github