CVE-2021-32509
QSAN Storage Manager - UNIX Symbolic Link (Symlink) Following via FileviewDoc function
En resumen
QSAN Storage Manager tiene un defecto que permite a usuarios autenticados acceder a archivos no autorizados manipulando enlaces simbólicos a través de un parámetro de URL. Esto permite que atacantes lean archivos sensibles del sistema.
Detalle técnico
Existe una vulnerabilidad de travesía de ruta absoluta en la función FileviewDoc de QSAN Storage Manager, explotable por atacantes autenticados que inyectan rutas de enlaces simbólicos mediante el parámetro Url. La falla permite acceso no autorizado a archivos, eludiendo controles de acceso. Corregida en v3.3.3.
Resumen generado y traducido por IA a partir de la descripción oficial.
Absolute Path Traversal vulnerability in FileviewDoc in QSAN Storage Manager allows remote authenticated attackers access arbitrary files by injecting the Symbolic Link following the Url path parameter. The referred vulnerability has been solved with the updated version of QSAN Storage Manager v3.3.3.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Productos afectados
QSAN · Storage Manager¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →