ГлавнаяБаза уязвимостей БДУ → BDU:2022-04337
7.1высокая

BDU:2022-04337

Уязвимость функции Validator.getValidDirectoryPath(String, String, File, boolean) библиотеки управления безопасностью веб-приложений ESAPI (OWASP Enterprise Security API), позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-07-13
Описание

Уязвимость функции Validator.getValidDirectoryPath(String, String, File, boolean) библиотеки управления безопасностью веб-приложений ESAPI (OWASP Enterprise Security API) связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
Enterprise Security API (до 2.3.0.0)
Способ устранения

Использование рекомендаций:
https://github.com/ESAPI/esapi-java-legacy/blob/develop/documentation/esapi4java-core-2.3.0.0-release-notes.txt
https://github.com/ESAPI/esapi-java-legacy/security/advisories/GHSA-8m5h-hrqm-pxm2

Оценка CVSS
Балл7.1 — высокая опасность
Источники и патчи
https://github.com/ESAPI/esapi-java-legacy/blob/develop/documentation/esapi4java-core-2.3.0.0-release-notes.txthttps://github.com/ESAPI/esapi-java-legacy/security/advisories/GHSA-8m5h-hrqm-pxm2https://securitylab.github.com/advisories/GHSL-2022-008_The_OWASP_Enterprise_Security_API/
Проверьте безопасность своего сайта и почты → Полная проверка домена