CVE-2021-32508
QSAN Storage Manager - UNIX Symbolic Link (Symlink) Following via FileStreaming function
En resumen
Una falla en QSAN Storage Manager permite que usuarios autenticados lean cualquier archivo del sistema manipulando rutas de archivo con enlaces simbólicos. Un atacante con acceso de inicio de sesión puede explotar esto para ver archivos sensibles a los que no debería tener permiso.
Detalle técnico
Vulnerabilidad de travesía de ruta absoluta en la función FileStreaming permite que atacantes remotos autenticados eludan controles de acceso mediante inyección de enlace simbólico en el parámetro de ruta de URL. La falla requiere credenciales de autenticación válidas y permite divulgación arbitraria de archivos en el sistema afectado.
Resumen generado y traducido por IA a partir de la descripción oficial.
Absolute Path Traversal vulnerability in FileStreaming in QSAN Storage Manager allows remote authenticated attackers access arbitrary files by injecting the Symbolic Link following the Url path parameter. The referred vulnerability has been solved with the updated version of QSAN Storage Manager v3.3.3.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Productos afectados
QSAN · Storage Manager¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →