ГлавнаяБаза уязвимостей БДУ → BDU:2024-08835
9.4критическая

BDU:2024-08835 (CVE-2024-48914)

Уязвимость корпоративной платформы Vendure, связанная с неправильной очисткой путей к файлам и обходом каталогов в результате недостаточной проверки входных данных, позволяющая нарушителю раскрыть защищаемую информацию или вызвать отказ в обслуживании
Опубликовано: 2024-10-31
Описание

Уязвимость корпоративной платформы Vendure связана с неправильной очисткой путей к файлам и обходом каталогов в результате недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию или вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Vendure (от 3.0.0 до 3.0.5)Vendure (до 2.3.3)
Способ устранения

Использование рекомендаций производителя:
https://github.com/vendure-ecommerce/vendure/blob/801980e8f599c28c5059657a9d85dd03e3827992/packages/asset-server-plugin/src/plugin.ts#L352-L358
https://github.com/vendure-ecommerce/vendure/commit/e2ee0c43159b3d13b51b78654481094fdd4850c5
https://github.com/vendure-ecommerce/vendure/security/advisories/GHSA-r9mq-3c9r-fmjq

Оценка CVSS
Балл9.4 — критическая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2024-48914https://www.cve.org/CVERecord?id=CVE-2024-48914https://github.com/vendure-ecommerce/vendure/blob/801980e8f599c28c5059657a9d85dd03e3827992/packages/asset-server-plugin/src/plugin.ts#L352-L358https://github.com/vendure-ecommerce/vendure/commit/e2ee0c43159b3d13b51b78654481094fdd4850c5https://github.com/vendure-ecommerce/vendure/security/advisories/GHSA-r9mq-3c9r-fmjq
Проверьте безопасность своего сайта и почты → Полная проверка домена