CVE-2020-5280

Опубликовано: 25 мар. 2020

Источник: nvd

CVSS3: 7.6

CVSS3: 7.5

CVSS2: 5

EPSS Низкий

Описание

http4s before versions 0.18.26, 0.20.20, and 0.21.2 has a local file inclusion vulnerability. This vulnerability applies to all users of org.http4s.server.staticcontent.FileService, org.http4s.server.staticcontent.ResourceService and org.http4s.server.staticcontent.WebjarService. URI normalization is applied incorrectly. Requests whose path info contain ../ or // can expose resources outside of the configured location. This issue is patched in versions 0.18.26, 0.20.20, and 0.21.2. Note that 0.19.0 is a deprecated release and has never been supported.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:typelevel:http4s:*:*:*:*:*:*:*:*

Версия до 0.18.26 (исключая)

cpe:2.3:a:typelevel:http4s:*:*:*:*:*:*:*:*

Версия от 0.19.0 (включая) до 0.20.20 (исключая)

cpe:2.3:a:typelevel:http4s:*:*:*:*:*:*:*:*

Версия от 0.21.0 (включая) до 0.21.2 (исключая)

EPSS

Процентиль: 74%

0.00848

Низкий

7.6 High

CVSS3

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-23

CWE-22

Связанные уязвимости

GHSA-66q9-f7ff-mmx6

CVSS3: 7.6

github

почти 6 лет назад

Local file inclusion vulnerability in http4s

EPSS

Процентиль: 74%

0.00848

Низкий

7.6 High

CVSS3

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-23

CWE-22