Vulnerabilidad en VirtoSoftware Virto Bulk File Download 5.5.44 para SharePoint 2019 (CVE-2024-33881)
Severidad:
MEDIA
Type:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
24/06/2024
Última modificación:
03/07/2024
Descripción
Se descubrió un problema en VirtoSoftware Virto Bulk File Download 5.5.44 para SharePoint 2019. El método Virto.SharePoint.FileDownloader/Api/Download.ashx isCompleted permite una fuga de hash NTLMv2 a través de un nombre de ruta compartido UNC en el parámetro de ruta.
Impacto
Puntuación base 3.x
5.30
Severidad 3.x
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:virtosoftware:sharepoint_bulk_file_download:5.5.44:*:*:*:*:*:*:* | ||
cpe:2.3:a:microsoft:sharepoint_server:2019:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página