CVE-2020-15230
Arbitrary file read un Vapor
En resumen
El framework Vapor para Swift (versiones anteriores a 4.29.4) tiene un defecto en el FileMiddleware que permite que los atacantes lean cualquier archivo del servidor manipulando rutas de archivo. Esto es peligroso porque los atacantes pueden acceder a datos sensibles como archivos de configuración o claves privadas.
Detalle técnico
Vulnerabilidad de path traversal (CWE-22) en el FileMiddleware de Vapor permite que atacantes no autenticados eludan restricciones de directorio y lean archivos arbitrarios en el sistema de archivos. La explotación ocurre mediante solicitudes con secuencias de path traversal que no se sanitizan adecuadamente antes del acceso al archivo.
Resumen generado y traducido por IA a partir de la descripción oficial.
Vapor is a web framework for Swift. In Vapor before version 4.29.4, Attackers can access data at arbitrary filesystem paths on the same host as an application. Only applications using FileMiddleware are affected. This is fixed in version 4.29.4.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:H/A:N
Productos afectados
vapor · vapor¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →