Описание
Umbraco is an ASP.NET content management system (CMS). Starting in version 8.0.0 and prior to versions 8.18.10, 10.8.1, and 12.3.0, Backoffice users with permissions to create packages can use path traversal and thereby write outside of the expected location. Versions 8.18.10, 10.8.1, and 12.3.0 contain a patch for this issue.
Ссылки
- Third Party Advisory
- Third Party Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 8.0.0 (включая) до 8.18.10 (исключая)Версия от 10.0.0 (включая) до 10.8.1 (исключая)Версия от 12.0.0 (включая) до 12.3.0 (исключая)
Одно из
cpe:2.3:a:umbraco:umbraco_cms:*:*:*:*:*:*:*:*
cpe:2.3:a:umbraco:umbraco_cms:*:*:*:*:*:*:*:*
cpe:2.3:a:umbraco:umbraco_cms:*:*:*:*:*:*:*:*
EPSS
Процентиль: 32%
0.00122
Низкий
7.7 High
CVSS3
6.5 Medium
CVSS3
Дефекты
CWE-22
CWE-22
Связанные уязвимости
github
около 2 лет назад
Using the directory back payload (“/../”) in a package name allows placement of package in other folders.
EPSS
Процентиль: 32%
0.00122
Низкий
7.7 High
CVSS3
6.5 Medium
CVSS3
Дефекты
CWE-22
CWE-22