CVE-2022-28710
CVE-2022-28710
Em resumo
Uma falha no gerenciamento de arquivos do WWBN AVideo permite que atacantes leiam arquivos arbitrários do servidor através de requisições HTTP especialmente construídas. Isso expõe dados sensíveis como arquivos de configuração e informações privadas.
Detalhe técnico
Existe uma vulnerabilidade CWE-73 (Controle Externo de Nome ou Caminho de Arquivo) na funcionalidade chunkFile, permitindo ataques de path traversal. Um atacante não autenticado pode craftar requisições HTTP para acessar arquivos fora dos diretórios permitidos, resultando em divulgação de informações sensíveis.
Resumo gerado e traduzido por IA a partir da descrição oficial.
An information disclosure vulnerability exists in the chunkFile functionality of WWBN AVideo 11.6 and dev master commit 3f7c0364. A specially-crafted HTTP request can lead to arbitrary file read. An attacker can send an HTTP request to trigger this vulnerability.
CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Produtos afetados
WWBN · AVideoQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →