Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

github логотип

GHSA-mjmq-gwgm-5qhm

Опубликовано: 10 июл. 2023
Источник: github
Github: Прошло ревью
CVSS3: 5

Описание

Apache MINA SSHD information disclosure vulnerability

Exposure of Sensitive Information to an Unauthorized Actor vulnerability in Apache Software Foundation Apache MINA.

In SFTP servers implemented using Apache MINA SSHD that use a RootedFileSystem, logged users may be able to discover "exists/does not exist" information about items outside the rooted tree via paths including parent navigation ("..") beyond the root, or involving symlinks.

This issue affects Apache MINA: from 1.0 before 2.9.3 Users are recommended to upgrade to 2.9.3

Until version 2.1.0, some of the code affected by this vulnerability appeared in org.apache.sshd:sshd-core. Version 2.1.0 contains a commit where the code was moved to the package org.apache.sshd:sshd-common, which did not exist until version 2.1.0.

Ссылки

Пакеты

Наименование

org.apache.sshd:sshd-common

maven
Затронутые версииВерсия исправления

>= 2.1.0, < 2.9.3

2.9.3

Наименование

org.apache.sshd:sshd-sftp

maven
Затронутые версииВерсия исправления

>= 1.0.0, < 2.9.3

2.9.3

Наименование

org.apache.sshd:sshd-core

maven
Затронутые версииВерсия исправления

>= 1.0.0, < 2.1.0

2.1.0

EPSS

Процентиль: 28%
0.001
Низкий

5 Medium

CVSS3

CVE ID

CVE-2023-35887

Дефекты

CWE-200
CWE-22

Связанные уязвимости

redhat логотип

CVE-2023-35887

CVSS3: 4.3
redhat
больше 2 лет назад

Exposure of Sensitive Information to an Unauthorized Actor vulnerability in Apache Software Foundation Apache MINA. In SFTP servers implemented using Apache MINA SSHD that use a RootedFileSystem, logged users may be able to discover "exists/does not exist" information about items outside the rooted tree via paths including parent navigation ("..") beyond the root, or involving symlinks. This issue affects Apache MINA: from 1.0 before 2.10. Users are recommended to upgrade to 2.10

nvd логотип

CVE-2023-35887

CVSS3: 5
nvd
больше 2 лет назад

Exposure of Sensitive Information to an Unauthorized Actor vulnerability in Apache Software Foundation Apache MINA. In SFTP servers implemented using Apache MINA SSHD that use a RootedFileSystem, logged users may be able to discover "exists/does not exist" information about items outside the rooted tree via paths including parent navigation ("..") beyond the root, or involving symlinks. This issue affects Apache MINA: from 1.0 before 2.10. Users are recommended to upgrade to 2.10

debian логотип

CVE-2023-35887

CVSS3: 5
debian
больше 2 лет назад

Exposure of Sensitive Information to an Unauthorized Actor vulnerabili ...

fstec логотип

BDU:2023-08077

CVSS3: 5
fstec
больше 2 лет назад

Уязвимость java-библиотеки для поддержки SSH-протоколов Apache SSHD, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 28%
0.001
Низкий

5 Medium

CVSS3

CVE ID

CVE-2023-35887

Дефекты

CWE-200
CWE-22