deepjavalibrary/djl sérülékenysége
Angol cím: deepjavalibrary/djl Vulnerability
Publikálás dátuma: 2024.10.29.
Utolsó módosítás dátuma: 2024.10.29.
Leírás
A termék külső inputot használ egy olyan elérési útnév létrehozásához, amelynek egy korlátozott könyvtáron belül kell lennie, de nem semlegesíti megfelelően az olyan abszolút útvonalsorozatokat, amelyek az adott könyvtáron kívüli helyre vezethetnek.
Leírás forrása: CWE-36Elemzés leírás
Eredeti nyelven: The DJL package’s untar function attempts to prevent path traversal by checking for relative path traversals but fails to account for absolute path traversals. An attacker can exploit this by creating a tarfile with absolute paths, leading to arbitrary file overwrite and potential remote code execution. This can have severe consequences, including unauthorized SSH access, web server exploitation, and availability impacts.
Elemzés leírás forrása: CVE-2024-8396Hatás
CVSS3.1 Súlyosság és Metrika
Base score: 7.8 (Magas)
Vector: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Impact Score: 5.9
Exploitability Score: 1.8
Attack Vector (AV): Local
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): Required
Scope (S): Unchanged
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): High
Következmények
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Hivatkozások
Sérülékeny szoftverek
deepjavalibrary/djl 0.28.0.
