CVE-2020-15230
Arbitrary file read un Vapor
Em resumo
O framework Vapor para Swift (versões anteriores à 4.29.4) tem uma falha no FileMiddleware que permite que invasores leiam qualquer arquivo do servidor manipulando caminhos de arquivo. Isso é perigoso porque atacantes conseguem acessar dados sensíveis como arquivos de configuração ou chaves privadas.
Detalhe técnico
Vulnerabilidade de path traversal (CWE-22) no FileMiddleware do Vapor permite que atacantes não autenticados contornem restrições de diretório e leiam arquivos arbitrários no sistema de arquivos. A exploração ocorre através de requisições com sequências de path traversal que não são adequadamente sanitizadas antes do acesso ao arquivo.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Vapor is a web framework for Swift. In Vapor before version 4.29.4, Attackers can access data at arbitrary filesystem paths on the same host as an application. Only applications using FileMiddleware are affected. This is fixed in version 4.29.4.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:H/A:N
Produtos afetados
vapor · vaporQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →