Alapadatok
Súlyosság: Kritikus
CVSS vektor: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CVSS base score: 9.8
Kihasználhatóság:
- Hálózatról kihasználható
- Alacsony komplexitás
- Nem szükséges jogosultság
- Nem szükséges felhasználói interakció
Következmények
Loss of integrity (Sértetlenség elvesztése)
Publikálás dátuma: 2025.03.10.
Érintett rendszerek: Apache Software Foundation Tomcat
Leírás
A termék egy nevet vagy hivatkozást használ egy erőforrás eléréséhez, de a név/referencia egy olyan erőforráshoz vezet, amely a tervezett ellenőrzési körön kívül esik.
A termék nem megbízható adatokat deserializál anélkül, hogy megfelelően biztosítaná a kapott adatok érvényességét.
A termék megfelelő érvényesítés nélkül elfogadja a belső pont formájában megadott elérési útvonalakat, ami nem egyértelmű elérési útvonal-felbontáshoz vezethet, és lehetővé teheti a támadó számára, hogy a fájlrendszert nem kívánt helyeken keresse meg, vagy tetszőleges fájlokat érjen el.
Leírás forrása: CWE-706 CWE-502 CWE-44
Hivatkozások
http://www.openwall.com/lists/oss-security/2025/03/10/5
https://github.com/absholi7ly/POC-CVE-2025-24813/blob/main/README.md
https://lists.apache.org/thread/j5fkjv2k477os90nczf2v9l61fb0kkgq