CVE-2022-30636 in x-cryptoinformation

Résumé

par VulDB • 12/07/2026

La clé httpTokenCacheKey utilise path.Base pour extraire la valeur attendue du jeton HTTP-01 afin de l'interroger dans l'implémentation de DirCache. Sous Windows, path.Base se comporte différemment de filepath.Base, car Windows utilise un séparateur de chemin différent (\ au lieu de /), ce qui permet à un utilisateur de fournir un chemin relatif ; par exemple, .well-known/acme-challenge/..\..\asd devient ..\..\asd. Le chemin extrait est ensuite suffixé avec +http-01, joint au répertoire du cache et ouvert. Étant donné que le chemin contrôlé est suffixé avec +http-01 avant l'ouverture, l'impact de cette vulnérabilité est considérablement limité, car elle ne permet la lecture de fichiers arbitraires sur le système que si ceux-ci possèdent ce suffixe spécifique.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Réserver

12/05/2022

Divulgation

02/07/2024

Modérer

accepté

Entrée

VDB-270264

CPE

prêt

EPSS

0.00632

KEV

non

Activités

très faible

Sources

Want to know what is going to be exploited?

We predict KEV entries!