Каталог уязвимостей Сканер-ВС

Вернуться к списку

CVE-2023-43662

Оценки

EPSS

0.915высокий91.5%
0%20%40%60%80%100%

Процентиль: 91.5%

CVSS

8.6высокий3.x
0246810

Оценка CVSS: 8.6/10

Все оценки CVSS

CVSS 3.x
8.6

Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N

Описание

ShokoServer — это медиасервер, специализирующийся на организации аниме. В затронутых версиях конечная точка /api/Image/WithPath доступна без аутентификации и должна возвращать изображения сервера по умолчанию. Конечная точка принимает параметр serverImagePath, который никак не обрабатывается перед передачей в System.IO.File.OpenRead, что приводит к произвольному чтению файлов. Эта проблема может привести к произвольному чтению файлов, которое усугубляется в установщике Windows, который устанавливает ShokoServer от имени администратора. Любой неаутентифицированный злоумышленник может получить доступ к конфиденциальной информации и читать файлы, хранящиеся на сервере. Конечная точка /api/Image/WithPath была удалена в коммите 6c57ba0f0, который будет включен в последующие выпуски. Пользователям следует ограничить доступ к конечной точке /api/Image/WithPath или вручную исправить свои установки до выхода исправленной версии. Эта проблема была обнаружена лабораторией GitHub Security и также проиндексирована как GHSL-2023-191.

Сканер-ВС 7 — современное решение для управления уязвимостями

Использует эту базу данных для обнаружения уязвимостей. Высокая скорость поиска, кроссплатформенность, продвинутый аудит конфигурации и гибкая фильтрация. Подходит для организаций любого масштаба.
Подробнее о Сканер-ВС 7

Источники

nvd

CWE

CWE-22

Уязвимое ПО (1)

Тип: Конфигурация

Поставщик: *

Продукт: shokoserver

Операционная система: * * *

Характеристика: 
{  "cpe_match": [    {      "cpe23uri": "cpe:2.3:a:shokoanime:shokoserver:*:*:*:*:*:*:*:*",      "versionEndIncluding": "4.2.2",      "vulnerable": true    }  ],  "operator": "OR"}

Источник: nvd

Конец списка