BDU:2023-07129

Опубликовано: 19 окт. 2023

Источник: fstec

CVSS3: 7.5

CVSS2: 7.8

EPSS Низкий

Описание

Уязвимость компонента static-content-files программного обеспечения управления печатной инфраструктурой PaperCut MF и PaperCut NG связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

PaperCut Software International Pty Ltd

Наименование ПО

PaperCut MF

PaperCut NG

Версия ПО

до 22.1.1 (PaperCut MF)

до 22.1.1 (PaperCut NG)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://www.papercut.com/kb/Main/SecurityBulletinJune2023

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-31046
CVE

EPSS

Процентиль: 59%

0.00394

Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

CVE-2023-31046

CVSS3: 6.5

nvd

почти 2 года назад

A Path Traversal vulnerability exists in PaperCut NG before 22.1.1 and PaperCut MF before 22.1.1. Under specific conditions, this could potentially allow an authenticated attacker to achieve read-only access to the server's filesystem, because requests beginning with "GET /ui/static/..//.." reach getStaticContent in UIContentResource.class in the static-content-files servlet.

GHSA-272r-9398-x32j