CVE-2021-32509
QSAN Storage Manager - UNIX Symbolic Link (Symlink) Following via FileviewDoc function
Em resumo
O QSAN Storage Manager possui uma falha que permite que usuários autenticados acessem arquivos não autorizados manipulando links simbólicos através de um parâmetro de URL. Isso permite que invasores leiam arquivos sensíveis do sistema.
Detalhe técnico
Existe uma vulnerabilidade de travessia de diretório absoluto na função FileviewDoc do QSAN Storage Manager, explorável por atacantes autenticados que injetam caminhos de links simbólicos via parâmetro Url. A falha permite acesso não autorizado a arquivos, contornando controles de acesso. Corrigida na v3.3.3.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Absolute Path Traversal vulnerability in FileviewDoc in QSAN Storage Manager allows remote authenticated attackers access arbitrary files by injecting the Symbolic Link following the Url path parameter. The referred vulnerability has been solved with the updated version of QSAN Storage Manager v3.3.3.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Produtos afetados
QSAN · Storage ManagerQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →