В feiyuchuixue sz-boot-parent до версии 1.3.2-beta была обнаружена уязвимость безопасности. Это затрагивает неизвестную часть файла /api/admin/common/download/templates API компонента. Выполнение манипуляций с аргументом templateName приводит к обходу пути.
Возможна удаленная эксплуатация атаки. Эксплойт был опубликован и может быть использован для атак. Обновление до бета-версии 1.3.3 может решить эту проблему.
Патч называется aefaabfd7527188bfba3c8c9eee17c316d094802. Рекомендуется обновить затронутый компонент. Проект был проинформирован заранее и действовал очень профессионально: «Мы реализовали проверку правильности пути для параметров интерфейса загрузки шаблона (...)»
Показать оригинальное описание (EN)
A security flaw has been discovered in feiyuchuixue sz-boot-parent up to 1.3.2-beta. This affects an unknown part of the file /api/admin/common/download/templates of the component API. Performing a manipulation of the argument templateName results in path traversal. Remote exploitation of the attack is possible. The exploit has been released to the public and may be used for attacks. Upgrading to version 1.3.3-beta is able to mitigate this issue. The patch is named aefaabfd7527188bfba3c8c9eee17c316d094802. It is recommended to upgrade the affected component. The project was informed beforehand and acted very professional: "We have implemented path validity checks on parameters for the template download interface (...)"
Характеристики атаки
Последствия
Строка CVSS v4.0