ThinManager ThinServer: wersje 13.0.0 — 13.0.2 i 13.1.0
Numer CVE
CVE-2023-2913
Krytyczność
7,5/10
CVSS
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Opis
Plik wykonywalny używany w produktach, których dotyczy problem, można skonfigurować tak, aby włączał funkcję API w ustawieniach serwera HTTPS. Ta funkcja jest domyślnie wyłączona. Gdy interfejs API jest włączony i obsługuje żądania, istnieje luka w zabezpieczeniach związana z przechodzeniem ścieżki, która może umożliwić zdalnemu aktorowi wykorzystanie uprawnień systemu plików serwera i odczytanie dowolnych przechowywanych w nim plików. Złośliwy użytkownik może wykorzystać tę lukę, uruchamiając ścieżkę zawierającą manipulujące zmienne.
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny