CVE-2023-24815 in Vert.x-Webinformación

Resumen

por VulDB • 2026-05-20

Vert.x-Web es un conjunto de bloques de construcción para crear aplicaciones web en el lenguaje de programación Java. Al ejecutar aplicaciones web de vertx que sirven archivos utilizando `StaticHandler` en Sistemas Operativos Windows y Sistemas de Archivos Windows, si el punto de montaje es un comodín (`*`), un atacante puede exfiltrar cualquier recurso de la ruta de clases (classpath). Al calcular la ruta relativa para localizar el recurso, en caso de comodines, el código: `return "/" + rest;` de `Utils.java` devuelve la entrada del usuario (sin validación) como el segmento para la búsqueda. Aunque se realizan comprobaciones para evitar escapar del sandbox, dado que la entrada no fue sanitizada, los caracteres `\` no se manejan correctamente y un atacante puede construir una ruta que sea válida dentro de la classpath. Este problema solo afecta a los usuarios que despliegan en entornos Windows y se recomienda la actualización como vía de remediación. No se conocen soluciones alternativas (workarounds) para esta vulnerabilidad.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub, Inc.

Reservar

2023-01-30

Divulgación

2023-02-09

Moderación

aceptado

Artículo

VDB-220496

CPE

listo

EPSS

0.00919

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!