Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2025-24786

Опубликовано: 06 фев. 2025
Источник: nvd
CVSS3: 10
CVSS3: 9.1
EPSS Средний

Описание

WhoDB is an open source database management tool. While the application only displays Sqlite3 databases present in the directory /db, there is no path traversal prevention in place. This allows an unauthenticated attacker to open any Sqlite3 database present on the host machine that the application is running on. Affected versions of WhoDB allow users to connect to Sqlite3 databases. By default, the databases must be present in /db/ (or alternatively ./tmp/ if development mode is enabled). If no databases are present in the default directory, the UI indicates that the user is unable to open any databases. The database file is an user-controlled value. This value is used in .Join() with the default directory, in order to get the full path of the database file to open. No checks are performed whether the database file that is eventually opened actually resides in the default directory /db. This allows an attacker to use path traversal (../../) in order to open any Sqlite3 da

Ссылки

Уязвимые конфигурации

Конфигурация 1
cpe:2.3:a:clidey:whodb:*:*:*:*:*:*:*:*
Версия до 0.45.0 (исключая)

EPSS

Процентиль: 97%
0.39342
Средний

10 Critical

CVSS3

9.1 Critical

CVSS3

Дефекты

CWE-22

Связанные уязвимости

github логотип

GHSA-9r4c-jwx3-3j76

CVSS3: 10
github
около 1 года назад

WhoDB has a path traversal opening Sqlite3 database

fstec логотип

BDU:2025-02456

CVSS3: 10
fstec
около 1 года назад

Уязвимость системы управления базами данных WhoDB, связанная с возможностью использования памяти после освобождения, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

suse-cvrf логотип

SUSE-SU-2025:0429-1

suse-cvrf
12 месяцев назад

Security update for govulncheck-vulndb

EPSS

Процентиль: 97%
0.39342
Средний

10 Critical

CVSS3

9.1 Critical

CVSS3

Дефекты

CWE-22