GHSA-gqrq-j6pm-98c2

Опубликовано: 14 дек. 2023

Источник: github

Github: Прошло ревью

CVSS3: 9.3

Описание

External Control of File Name or Path in h2oai/h2o-3

Remote unauthenticated attackers can overwrite arbitrary server files with attacker-controllable data. The data that the attacker can control is not entirely arbitrary. h2o writes a CSV/XLS/etc file to disk, so the attacker data is wrapped in quotations and starts with "C1", if they're exporting as CSV.

Ссылки

Пакеты

Наименование

h2o

pip

Затронутые версииВерсия исправления

<= 3.44.0.2

Отсутствует

EPSS

Процентиль: 43%

0.00207

Низкий

9.3 Critical

CVSS3

CVE ID

CVE-2023-6569

Дефекты

CWE-610

CWE-73

Связанные уязвимости

CVE-2023-6569

CVSS3: 8.2

nvd

около 2 лет назад

External Control of File Name or Path in h2oai/h2o-3

EPSS

Процентиль: 43%

0.00207

Низкий

9.3 Critical

CVSS3

CVE ID

CVE-2023-6569

Дефекты

CWE-610

CWE-73