Клиентская библиотека FTP `basic-ftp` для Node.js содержит уязвимость обхода пути (CWE-22) в версиях до 5.2.0 в методе `downloadToDir()` . Вредоносный FTP-сервер может отправлять списки каталогов с именами файлов, содержащими последовательности обхода пути (`../`), что приводит к записи файлов за пределы предполагаемого каталога загрузки. Версия 5.2.0 исправляет проблему.
Показать оригинальное описание (EN)
The `basic-ftp` FTP client library for Node.js contains a path traversal vulnerability (CWE-22) in versions prior to 5.2.0 in the `downloadToDir()` method. A malicious FTP server can send directory listings with filenames containing path traversal sequences (`../`) that cause files to be written outside the intended download directory. Version 5.2.0 patches the issue.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Patrickjuchli Basic-Ftp
cpe:2.3:a:patrickjuchli:basic-ftp:*:*:*:*:*:node.js:*:*
|
— |
5.2.0
|
Ссылки 3
https://github.com/patrickjuchli/basic-ftp/commit/2a2a0e6514357b9eda07c2f8afbd3…
security-advisories@github.com
https://github.com/patrickjuchli/basic-ftp/releases/tag/v5.2.0
security-advisories@github.com
https://github.com/patrickjuchli/basic-ftp/security/advisories/GHSA-5rq4-664w-9…
security-advisories@github.com