CVEbaza.plSłownik CWECWE-32
Common Weakness Enumeration

CWE-32

Path Traversal: '...' (Triple Dot)

Kategoria: VariantCVE: 2
Opis

Produkt wykorzystuje dane wejściowe do konstruowania ścieżki, która powinna znajdować się w ograniczonym katalogu, ale nie neutralizuje prawidłowo sekwencji '...' (triple dot), które mogą rozwiązywać się do lokalizacji poza tym katalogiem. To pozwala atakującemu na dostęp do plików znajdujących się poza zamierzonym katalogiem.

Description (EN)

The product uses external input to construct a pathname that should be within a restricted directory, but it does not properly neutralize '...' (triple dot) sequences that can resolve to a location that is outside of that directory.

Podatności CVE z CWE-32 (2)
7.5
CVSS
HIGH
CVE-2024-41784

IBM Sterling Secure Proxy 6.0.0.0, 6.0.0.1, 6.0.0.2, 6.0.0.3, and 6.1.0.0 could allow a remote attacker to traverse directories on the system. An attacker could send a specially crafted URL request containing "dot dot dot" sequences (/.../) to view arbitrary files on the system.

pub. 2024-11-15
7.5
CVSS
HIGH
CVE-2024-6049

The web server of Lawo AG vsm LTC Time Sync (vTimeSync) is affected by a "..." (triple dot) path traversal vulnerability. By sending a specially crafted HTTP request, an unauthenticated remote attacker could download arbitrary files from the operating system. As a limitation, the exploitation is only possible if the requested file has some file extension, e. g. .exe or .txt.

pub. 2024-10-24
Informacje
ID: CWE-32
Typ: Variant
Podatności: 2
MITRE CWE ↗
← Słownik CWE