В Navtor NavBox существует уязвимость, связанная с обходом абсолютного пути. Приложение предоставляет службу HTTP, которая не может должным образом очистить введенный пользователем путь. Неаутентифицированные удаленные злоумышленники могут воспользоваться этой проблемой, отправив запросы, содержащие абсолютные пути к файловой системе.
Успешная эксплуатация позволяет злоумышленнику получить произвольные файлы из базовой файловой системы, ограниченные только привилегиями служебного процесса. Это может привести к раскрытию конфиденциальных файлов конфигурации и системной информации.
Показать оригинальное описание (EN)
An Absolute Path Traversal vulnerability exists in Navtor NavBox. The application exposes an HTTP service that fails to properly sanitize user-supplied path input. Unauthenticated remote attackers can exploit this issue by submitting requests containing absolute filesystem paths. Successful exploitation allows the attacker to retrieve arbitrary files from the underlying filesystem, limited only by the privileges of the service process. This can lead to the exposure of sensitive configuration files and system information.
Характеристики атаки
Последствия
Строка CVSS v3.1