SFTPGo — это решение для передачи файлов, управляемое событиями, с открытым исходным кодом. Версии SFTPGo до версии 2.7.1 содержат проблему проверки ввода при обработке путей динамических групп, например домашних каталогов или префиксов ключей. Когда группа настроена с динамическим домашним каталогом или префиксом ключа с использованием заполнителей, таких как %username%, значение, заменяющее заполнитель, не подвергается строгой очистке с учетом компонентов относительного пути.
Следовательно, если пользователь создается со специально созданным именем пользователя, результирующий путь может разрешиться в родительский каталог, а не в предполагаемый подкаталог. Эта проблема исправлена в версии v2.7.1.
Показать оригинальное описание (EN)
SFTPGo is an open source, event-driven file transfer solution. SFTPGo versions before v2.7.1 contain an input validation issue in the handling of dynamic group paths, for example, home directories or key prefixes. When a group is configured with a dynamic home directory or key prefix using placeholders like %username%, the value replacing the placeholder is not strictly sanitized against relative path components. Consequently, if a user is created with a specially crafted username the resulting path may resolve to a parent directory instead of the intended sub-directory. This issue is fixed in version v2.7.1
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Sftpgo_Project Sftpgo
cpe:2.3:a:sftpgo_project:sftpgo:*:*:*:*:*:*:*:*
|
2.3.0
|
2.7.1
|