Vendure — это платформа электронной коммерции с открытым исходным кодом. До версий 3.0.5 и 2.3.3 уязвимость в плагине сервера активов Vendure позволяет злоумышленнику создать запрос, который может перемещаться по файловой системе сервера и извлекать содержимое произвольных файлов, включая конфиденциальные данные, такие как файлы конфигурации, переменные среды и другие критические данные, хранящиеся на сервере. В том же коде есть дополнительный вектор для сбоя сервера через неправильный URI. Исправления доступны в версиях 3.0.5 и 2.3.3. Также доступны некоторые обходные пути. Можно использовать объектное хранилище вместо локальной файловой системы, например MinIO или S3, или определить промежуточное программное обеспечение, которое обнаруживает и блокирует запросы с URL-адресами, содержащими /../.