CVE-2022-30636 in x-crypto
Résumé
par VulDB • 12/07/2026
La clé httpTokenCacheKey utilise path.Base pour extraire la valeur attendue du jeton HTTP-01 afin de l'interroger dans l'implémentation de DirCache. Sous Windows, path.Base se comporte différemment de filepath.Base, car Windows utilise un séparateur de chemin différent (\ au lieu de /), ce qui permet à un utilisateur de fournir un chemin relatif ; par exemple, .well-known/acme-challenge/..\..\asd devient ..\..\asd. Le chemin extrait est ensuite suffixé avec +http-01, joint au répertoire du cache et ouvert. Étant donné que le chemin contrôlé est suffixé avec +http-01 avant l'ouverture, l'impact de cette vulnérabilité est considérablement limité, car elle ne permet la lecture de fichiers arbitraires sur le système que si ceux-ci possèdent ce suffixe spécifique.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.