Opis
Produkt wykorzystuje dane wejściowe do konstruowania ścieżki, która powinna znajdować się w ograniczonym katalogu, ale nie neutralizuje prawidłowo sekwencji '...' (triple dot), które mogą rozwiązywać się do lokalizacji poza tym katalogiem. To pozwala atakującemu na dostęp do plików znajdujących się poza zamierzonym katalogiem.
Description (EN)
The product uses external input to construct a pathname that should be within a restricted directory, but it does not properly neutralize '...' (triple dot) sequences that can resolve to a location that is outside of that directory.
Podatności CVE z CWE-32 (2)
7.5
CVSS
HIGH
CVE-2024-41784
pub. 2024-11-15
7.5
CVSS
HIGH
CVE-2024-6049
pub. 2024-10-24