spring-boot-actuator-logview в библиотеке, добавляющей простой просмотрщик файлов журналов в качестве конечной точки spring boot actuator. Это maven-пакет “eu.hinsch:spring-boot-actuator-logview”. В spring-boot-actuator-logview до версии 0.2.13 существует уязвимость обхода каталогов. Суть этой библиотеки заключается в предоставлении каталога файлов журналов через HTTP-конечные точки admin (spring boot actuator). Как имя файла для просмотра, так и базовая папка (относительно корня папки ведения журнала) могут быть указаны через параметры запроса. Хотя параметр имени файла был проверен для предотвращения эксплойтов обхода каталогов (так что filename=../somefile не будет работать), параметр базовой папки не был достаточно проверен, так что filename=somefile\u0026base=../ может получить доступ к файлу за пределами базового каталога ведения журнала. Уязвимость была исправлена в выпуске 0.2.13. Любые пользователи 0.2.12 должны иметь возможность обновиться без каких-либо проблем, так как в этом выпуске нет других изменений. Нет обходного пути для устранения уязвимости, кроме обновления или удаления зависимости. Однако удаление прав на чтение у пользователя, от имени которого запускается приложение, для любого каталога, не требующегося для запуска приложения, может ограничить воздействие. Кроме того, доступ к конечной точке logview можно ограничить, развернув приложение за обратным прокси-сервером.