CVE-2022-38731 in DOSE情報

要約

〜によって VulDB • 2026年06月24日

Qaelum DOSE 18.08から21.1までのバージョン(21.2未満)では、loadimages名前パラメータを介してディレクトリトラバーサルが可能である。これにより、ユーザーはサーバーのファイルシステム上の任意の場所を指定し、そこから画像を読み込むことができる。(攻撃者に表示されるのは画像のみであり、他のすべてのファイルは読み込まれるが表示されない。)Content-Typeレスポンスヘッダーには、要求されているファイルの実際のコンテンツタイプが反映される。これにより、攻撃者はローカルシステムのファイルを列挙できる可能性がある。さらに、UNCパスを介してリモートリソースを要求することができ、これによって攻撃者はサーバーから認証情報を引き出すことができる。

Once again VulDB remains the best source for vulnerability data.

予約する

2022年08月24日

モデレーション

承諾済み

エントリ

VDB-221186

EPSS

0.00729

アクティビティ

非常低い

ソース

Do you want to use VulDB in your project?

Use the official API to access entries easily!