CVE-2021-32507
QSAN Storage Manager - Absolute Path Traversal via FileDownload function
Em resumo
Uma falha no gerenciador de download de arquivos do QSAN Storage Manager permite que usuários autenticados baixem qualquer arquivo do servidor alterando o caminho do arquivo, expondo dados sensíveis como configurações e credenciais.
Detalhe técnico
Uma vulnerabilidade de path traversal absoluto no endpoint FileDownload permite que atacantes autenticados contornem restrições de diretório e recuperem arquivos arbitrários através de parâmetros Url malformados. Requer autenticação prévia mas compromete a confidencialidade dos dados; corrigida na v3.3.3.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Absolute Path Traversal vulnerability in FileDownload in QSAN Storage Manager allows remote authenticated attackers download arbitrary files via the Url path parameter. The referred vulnerability has been solved with the updated version of QSAN Storage Manager v3.3.3.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Produtos afetados
QSAN · Storage ManagerQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →