fabarea media_upload avant 0.9.0 sur TYPO3 UploadFileService.php getUploadedFileList directory traversal

Une vulnérabilité qui a été classée critique a été trouvée dans fabarea media_upload. Affecté par ce problème est la fonction getUploadedFileList du fichier Classes/Service/UploadFileService.php. La manipulation avec une valeur d'entrée inconnue mène à une vulnérabilité de classe directory traversal. La notice d'information est disponible en téléchargement sur github.com. Cette vulnérabilité est connue comme CVE-2016-15017. L'accés au réseau local est requis pour cette attaque. Des details techniques sont connus. Il est déclaré comme non défini. Mettre à jour à la version 0.9.0 élimine cette vulnérabilité. La mise à jour est disponible au téléchargment sur github.com. Le correctif est disponible au téléchargement sur github.com. La meilleure solution suggérée pour atténuer le problème est de mettre à jour à la dernière version. Une solution envisageable a été publiée avant et non après après la publication de la vulnérabilité.

Domaine10/01/2023 15:0931/01/2023 08:4031/01/2023 08:44
vendorfabareafabareafabarea
namemedia_uploadmedia_uploadmedia_upload
platformTYPO3TYPO3TYPO3
fileClasses/Service/UploadFileService.phpClasses/Service/UploadFileService.phpClasses/Service/UploadFileService.php
functiongetUploadedFileListgetUploadedFileListgetUploadedFileList
cwe21 (directory traversal)21 (directory traversal)21 (directory traversal)
risk222
cvss3_vuldb_acLLL
cvss3_vuldb_sUUU
cvss3_vuldb_cLLL
cvss3_vuldb_iLLL
cvss3_vuldb_aLLL
cvss3_vuldb_rlOOO
cvss3_vuldb_rcCCC
urlhttps://github.com/fabarea/media_upload/issues/6https://github.com/fabarea/media_upload/issues/6https://github.com/fabarea/media_upload/issues/6
nameUpgradeUpgradeUpgrade
upgrade_version0.9.00.9.00.9.0
upgrade_urlhttps://github.com/fabarea/media_upload/releases/tag/0.9.0https://github.com/fabarea/media_upload/releases/tag/0.9.0https://github.com/fabarea/media_upload/releases/tag/0.9.0
patch_nameb25d42a4981072321c1a363311d8ea2a4ac8763ab25d42a4981072321c1a363311d8ea2a4ac8763ab25d42a4981072321c1a363311d8ea2a4ac8763a
patch_urlhttps://github.com/fabarea/media_upload/commit/b25d42a4981072321c1a363311d8ea2a4ac8763ahttps://github.com/fabarea/media_upload/commit/b25d42a4981072321c1a363311d8ea2a4ac8763ahttps://github.com/fabarea/media_upload/commit/b25d42a4981072321c1a363311d8ea2a4ac8763a
cveCVE-2016-15017CVE-2016-15017CVE-2016-15017
responsibleVulDBVulDBVulDB
date1673305200 (10/01/2023)1673305200 (10/01/2023)1673305200 (10/01/2023)
cvss2_vuldb_acLLL
cvss2_vuldb_ciPPP
cvss2_vuldb_iiPPP
cvss2_vuldb_aiPPP
cvss2_vuldb_rcCCC
cvss2_vuldb_rlOFOFOF
cvss2_vuldb_avAAA
cvss2_vuldb_auSSS
cvss2_vuldb_eNDNDND
cvss3_vuldb_avAAA
cvss3_vuldb_prLLL
cvss3_vuldb_uiNNN
cvss3_vuldb_eXXX
cvss2_vuldb_basescore5.25.25.2
cvss2_vuldb_tempscore4.54.54.5
cvss3_vuldb_basescore5.55.55.5
cvss3_vuldb_tempscore5.35.35.3
cvss3_meta_basescore5.55.56.9
cvss3_meta_tempscore5.35.36.9
price_0day$0-$5k$0-$5k$0-$5k
identifierb25d42a4981072321c1a363311d8ea2a4ac8763ab25d42a4981072321c1a363311d8ea2a4ac8763a
cve_assigned1673305200 (10/01/2023)1673305200 (10/01/2023)
cve_nvd_summaryA vulnerability has been found in fabarea media_upload and classified as critical. This vulnerability affects the function getUploadedFileList of the file Classes/Service/UploadFileService.php. The manipulation leads to pathname traversal. Upgrading to version 0.9.0 is able to address this issue. The name of the patch is b25d42a4981072321c1a363311d8ea2a4ac8763a. It is recommended to upgrade the affected component. VDB-217786 is the identifier assigned to this vulnerability.A vulnerability has been found in fabarea media_upload and classified as critical. This vulnerability affects the function getUploadedFileList of the file Classes/Service/UploadFileService.php. The manipulation leads to pathname traversal. Upgrading to version 0.9.0 is able to address this issue. The name of the patch is b25d42a4981072321c1a363311d8ea2a4ac8763a. It is recommended to upgrade the affected component. VDB-217786 is the identifier assigned to this vulnerability.
cvss3_nvd_avN
cvss3_nvd_acL
cvss3_nvd_prN
cvss3_nvd_uiN
cvss3_nvd_sU
cvss3_nvd_cH
cvss3_nvd_iH
cvss3_nvd_aH
cvss2_nvd_avA
cvss2_nvd_acL
cvss2_nvd_auS
cvss2_nvd_ciP
cvss2_nvd_iiP
cvss2_nvd_aiP
cvss3_cna_avA
cvss3_cna_acL
cvss3_cna_prL
cvss3_cna_uiN
cvss3_cna_sU
cvss3_cna_cL
cvss3_cna_iL
cvss3_cna_aL
cve_cnaVulDB
cvss2_nvd_basescore5.2
cvss3_nvd_basescore9.8
cvss3_cna_basescore5.5

PrécédentAperçuSuivant

Interested in the pricing of exploits?

See the underground prices here!