oak 的路径遍历允许传输所服务根目录内的隐藏文件 (CVE-2024-49770)

admin
admin
admin
0
文章
0
评论
2024-11-03 00:15:11 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
oak 的路径遍历允许传输所服务根目录内的隐藏文件 (CVE-2024-49770)

CVE编号

CVE-2024-49770

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-02
漏洞描述
`oak`是适用于Deno的原生HTTP服务器、Deno Deploy、Node.js 16.5及更高版本、Cloudflare Workers和Bun的中间件框架。默认情况下,`oak`不允许使用`Context.send` API传输隐藏文件。但在版本17.1.3之前,可以通过将“/”编码为其URL编码形式“%2F”来绕过此限制。对于攻击者来说,这有可能读取敏感用户数据或获取服务器机密。版本17.1.3解决了这个问题。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/oakserver/oak/blob/3896fe568b25ac0b4c5afbf822ff8344c3d1712...
https://github.com/oakserver/oak/blob/3896fe568b25ac0b4c5afbf822ff8344c3d1712...
https://github.com/oakserver/oak/commit/4b2f27efd5cba5a45b2c3982e610da3af0869209
https://github.com/oakserver/oak/security/advisories/GHSA-qm92-93fv-vh7m
CVSS3评分 N/A
  • 攻击路径 N/A
  • 攻击复杂度 N/A
  • 权限要求 N/A
  • 影响范围 N/A
  • 用户交互 N/A
  • 可用性 N/A
  • 保密性 N/A
  • 完整性 N/A
N/A
CWE-ID 漏洞类型
CWE-22 对路径名的限制不恰当(路径遍历)
CWE-35 路径遍历:'.../...//'
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-51244利用情况 暂无补丁情况 N/A披露时间 2024-11-02漏洞描述在Draytek Vigor3900 1.
11-030 评论
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-51245利用情况 暂无补丁情况 N/A披露时间 2024-11-02漏洞描述在 DrayTek Vigor3900 版
11-030 评论
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-51247利用情况 暂无补丁情况 N/A披露时间 2024-11-02漏洞描述在Draytek Vigor3900 1.
11-030 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0