CVE-2021-32508
QSAN Storage Manager - UNIX Symbolic Link (Symlink) Following via FileStreaming function
Em resumo
Uma falha no QSAN Storage Manager permite que usuários autenticados leiam qualquer arquivo do sistema manipulando caminhos de arquivo com links simbólicos. Um atacante com acesso de login pode explorar isso para visualizar arquivos sensíveis que não deveria poder acessar.
Detalhe técnico
Vulnerabilidade de travessia de caminho absoluto na função FileStreaming permite que atacantes remotos autenticados contornem controles de acesso via injeção de link simbólico no parâmetro do caminho da URL. A falha requer credenciais de autenticação válidas e possibilita divulgação arbitrária de arquivos no sistema afetado.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Absolute Path Traversal vulnerability in FileStreaming in QSAN Storage Manager allows remote authenticated attackers access arbitrary files by injecting the Symbolic Link following the Url path parameter. The referred vulnerability has been solved with the updated version of QSAN Storage Manager v3.3.3.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Produtos afetados
QSAN · Storage ManagerQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →