Неправильное ограничение пути к ограниченному каталогу («Обход пути») в функции списка общих файлов в Synology Active Backup for Business до версий 2.7.1-13234, 2.7.1-23234 и 2.7.1-3234 позволяет удаленно прошедшим проверку подлинности пользователям с правами администратора читать определенные файлы, содержащие неконфиденциальную информацию, через неуказанные векторы.
Показать оригинальное описание (EN)
Improper limitation of a pathname to a restricted directory ('Path Traversal') vulnerability in share file list functionality in Synology Active Backup for Business before 2.7.1-13234, 2.7.1-23234 and 2.7.1-3234 allows remote authenticated users with administrator privileges to read specific files containing non-sensitive information via unspecified vectors.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Высокие
Нужны права администратора
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1