Musicco 2.0.0 содержит уязвимость обхода пути, которая позволяет неаутентифицированным злоумышленникам загружать произвольные каталоги, манипулируя родительским параметром. Злоумышленники могут указать последовательности обхода каталогов в родительском параметре конечной точки getAlbum, чтобы получить доступ к конфиденциальным системным каталогам и загрузить их в виде ZIP-файлов.
Показать оригинальное описание (EN)
Musicco 2.0.0 contains a path traversal vulnerability that allows unauthenticated attackers to download arbitrary directories by manipulating the parent parameter. Attackers can supply directory traversal sequences in the parent parameter of the getAlbum endpoint to access sensitive system directories and download them as ZIP files.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0