Home-Gallery.org — это автономная веб-галерея с открытым исходным кодом для просмотра личных фотографий и видео. До версии 1.21.0, когда пользователь запрашивает загрузку, приложение не проверяет, находится ли запрошенный файл в исходном каталоге мультимедиа, что также может привести к загрузке конфиденциальных системных файлов. Эта проблема исправлена в версии 1.21.0.
Показать оригинальное описание (EN)
Home-Gallery.org is a self-hosted open-source web gallery to browse personal photos and videos. Prior to version 1.21.0, when a user requests a download, the application does not verify whether the requested file is located within the media source directory, which can result in sensitive system files being downloadable as well. This issue has been patched in version 1.21.0.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1