Сервер Actual Sync позволяет прошедшим проверку подлинности пользователям загружать файлы через POST /sync/upload-user-file. В версиях до 26.3.0 неправильная проверка управляемого пользователем заголовка x-actual-file-id означает, что сегменты обхода (../) могут выйти из предполагаемого каталога и записать файлы за пределы userFiles. Эта проблема затрагивает предыдущие версии Actual Sync Server 26.3.0.
Показать оригинальное описание (EN)
Actual Sync Server allows authenticated users to upload files through POST /sync/upload-user-file. In versions prior to 26.3.0, improper validation of the user-controlled x-actual-file-id header means that traversal segments (../) can escape the intended directory and write files outside userFiles.This issue affects prior versions of Actual Sync Server 26.3.0.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Actualbudget Actual
cpe:2.3:a:actualbudget:actual:*:*:*:*:*:node.js:*:*
|
— |
26.3.0
|