Vulnerabilidad en Reactor Netty HTTP Server (CVE-2023-34062)
Severidad:
ALTA
Type:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
15/11/2023
Última modificación:
21/11/2023
Descripción
En Reactor Netty HTTP Server, versiones 1.1.x anteriores a 1.1.13 y versiones 1.0.x anteriores a 1.0.39, un usuario malintencionado puede enviar una solicitud utilizando una URL especialmente manipulada que puede provocar un ataque Directory Traversal. Específicamente, una aplicación es vulnerable si el servidor HTTP Reactor Netty está configurado para servir recursos estáticos.
Impacto
Puntuación base 3.x
7.50
Severidad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:pivotal:reactor_netty:*:*:*:*:*:*:*:* | 1.0.0 (incluyendo) | 1.0.39 (excluyendo) |
cpe:2.3:a:pivotal:reactor_netty:*:*:*:*:*:*:*:* | 1.1.0 (incluyendo) | 1.1.13 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página