CVEbaza.plSłownik CWECWE-59
Common Weakness Enumeration

CWE-59

Improper Link Resolution Before File Access ('Link Following')

Kategoria: BaseCVE: 1735
Opis

Produkt próbuje uzyskać dostęp do pliku na podstawie nazwy pliku, ale nie zapobiega prawidłowo temu, aby nazwa pliku wskazywała łącze lub skrót rozwiązujący się do niezamierzonego zasobu. Umożliwia to atakującemu przekierowanie dostępu do wrażliwych plików lub zasobów poprzez manipulację łączami symbolicznymi lub skrótami.

Description (EN)

The product attempts to access a file based on the filename, but it does not properly prevent that filename from identifying a link or shortcut that resolves to an unintended resource.

Podatności CVE z CWE-59 (1735)
10.0
CVSS
CRITICAL
CVE-2024-37143

Podatność klasy Improper Link Resolution Before File Access (CWE-59) w wielu produktach Dell umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnego kodu. Uzyskanie oceny CVSS 10.0 odzwierciedla maksymalne ryzyko — brak wymagań co do uwierzytelnienia, interakcji użytkownika oraz pełny zakres skutków (poufność, integralność, dostępność).

pub. 2024-12-10
10.0
CVSS
CRITICAL
CVE-2024-28185

Podatność w systemie Judge0 pozwala atakującemu na ucieczkę ze środowiska sandbox poprzez podmianę pliku skryptu na symboliczny link (symlink), prowadząc do wykonania dowolnego kodu poza izolowanym środowiskiem. Uzyskanie oceny CVSS 10.0 wskazuje na pełną kompromitację systemu hosta bez żadnych wymagań wstępnych.

pub. 2024-04-18
10.0
CVSS
CRITICAL
CVE-2024-28189

Judge0, otwartoźródłowy system wykonywania kodu online, jest podatny na ucieczkę z środowiska sandbox poprzez nadużycie polecenia chown na niezaufanym pliku. Luka pozwala atakującemu całkowicie przejąć kontrolę nad systemem hosta, co czyni ją krytycznym zagrożeniem.

pub. 2024-04-18
10.0
CVSS
CRITICAL
CVE-2022-22995

The combination of primitives offered by SMB and AFP in their default configuration allows the arbitrary writing of files. By exploiting these combination of primitives, an attacker can execute arbitrary code.

pub. 2022-03-25
10.0
CVSS
HIGH
CVE-2014-4480

Directory traversal vulnerability in afc in AppleFileConduit in Apple iOS before 8.1.3 and Apple TV before 7.0.3 allows attackers to access unintended filesystem locations by creating a symlink.

pub. 2015-01-30
10.0
CVSS
HIGH
CVE-2002-2374

Unspecified vulnerability in pprosetup in Sun PatchPro 2.0 has unknown impact and attack vectors related to "unsafe use of temporary files."

pub. 2002-12-31
9.9
CVSS
CRITICAL
CVE-2026-7374

Podatność w komponencie virt-handler projektu KubeVirt umożliwia uwierzytelnionemu użytkownikowi OpenShift z uprawnieniami do edycji w jednej przestrzeni nazw przejęcie uprzywilejowanego połączenia i uzyskanie pełnej kontroli nad węzłem oraz całym klastrem. Zagrożenie jest krytyczne ze względu na brak wymagań co do interakcji ofiary oraz efekt wykraczający poza granice przestrzeni nazw.

pub. 2026-05-26
9.9
CVSS
CRITICAL
CVE-2023-6069

Improper Link Resolution Before File Access in GitHub repository froxlor/froxlor prior to 2.1.0.

pub. 2023-11-10
9.9
CVSS
CRITICAL
CVE-2018-5225

In browser editing in Atlassian Bitbucket Server from version 4.13.0 before 5.4.8 (the fixed version for 4.13.0 through 5.4.7), 5.5.0 before 5.5.8 (the fixed version for 5.5.x), 5.6.0 before 5.6.5 (the fixed version for 5.6.x), 5.7.0 before 5.7.3 (the fixed version for 5.7.x), and 5.8.0 before 5.8.2 (the fixed version for 5.8.x), allows authenticated users to gain remote code execution using the in browser editing feature via editing a symbolic link within a repository.

pub. 2018-03-22
9.8
CVSS
CRITICAL
CVE-2025-43220

Podatność w Apple iPadOS oraz macOS umożliwia aplikacji nieautoryzowany dostęp do chronionych danych użytkownika poprzez nieprawidłową obsługę dowiązań symbolicznych (symlinks). Ocena CVSS 9.8 wskazuje na krytyczny poziom zagrożenia.

pub. 2025-07-30
9.8
CVSS
CRITICAL
CVE-2025-30457

Podatność w systemie macOS pozwala złośliwej aplikacji na tworzenie symlinków (dowiązań symbolicznych) do chronionych obszarów dysku. Oceniona jako krytyczna (CVSS 9.8), może prowadzić do naruszenia integralności, poufności i dostępności systemu.

pub. 2025-03-31
9.8
CVSS
CRITICAL
CVE-2024-6868

LocalAI w wersji 2.17.1 zawiera krytyczną podatność umożliwiającą zapis plików w dowolne lokalizacje serwera poprzez atak typu 'tarslip' podczas automatycznej ekstrakcji archiwów. Może to prowadzić do zdalnego wykonania kodu (RCE) przez nadpisanie plików używanych przez serwer.

pub. 2024-10-29
9.8
CVSS
CRITICAL
CVE-2022-34960

The container package in MikroTik RouterOS 7.4beta4 allows an attacker to create mount points pointing to symbolic links, which resolve to locations on the host device. This allows the attacker to mount any arbitrary file to any location on the host.

pub. 2022-08-25
9.8
CVSS
CRITICAL
CVE-2022-26612

In Apache Hadoop, The unTar function uses unTarUsingJava function on Windows and the built-in tar utility on Unix and other OSes. As a result, a TAR entry may create a symlink under the expected extraction directory which points to an external directory. A subsequent TAR entry may extract an arbitrary file into the external directory using the symlink name. This however would be caught by the same targetDirPath check on Unix because of the getCanonicalPath call. However on Windows, getCanonicalPath doesn't resolve symbolic links, which bypasses the check. unpackEntries during TAR extraction follows symbolic links which allows writing outside expected base directory on Windows. This was addressed in Apache Hadoop 3.2.3

pub. 2022-04-07
9.8
CVSS
CRITICAL
CVE-2021-21691

Creating symbolic links is possible without the 'symlink' agent-to-controller access control permission in Jenkins 2.318 and earlier, LTS 2.303.2 and earlier.

pub. 2021-11-04
9.8
CVSS
CRITICAL
CVE-2020-27172

An issue was discovered in G-Data before 25.5.9.25 using Symbolic links, it is possible to abuse the infected-file restore mechanism to achieve arbitrary write that leads to elevation of privileges.

pub. 2020-12-28
9.8
CVSS
CRITICAL
CVE-2020-9670

Adobe Creative Cloud Desktop Application versions 5.1 and earlier have a symlink vulnerability vulnerability. Successful exploitation could lead to privilege escalation.

pub. 2020-07-17
9.8
CVSS
CRITICAL
CVE-2020-9682

Adobe Creative Cloud Desktop Application versions 5.1 and earlier have a symlink vulnerability vulnerability. Successful exploitation could lead to arbitrary file system write.

pub. 2020-07-17
9.8
CVSS
CRITICAL
CVE-2020-12265

The decompress package before 4.2.1 for Node.js is vulnerable to Arbitrary File Write via ../ in an archive member, when a symlink is used, because of Directory Traversal.

pub. 2020-04-26
9.8
CVSS
CRITICAL
CVE-2019-7183

This improper link resolution vulnerability allows remote attackers to access system files. To fix this vulnerability, QNAP recommend updating QTS to their latest versions.

pub. 2019-12-05
Pokazano 20 z 1735 podatności
Informacje
ID: CWE-59
Typ: Base
Podatności: 1735
MITRE CWE ↗
← Słownik CWE
CWE-59 — Improper Link Resolution Before File Access ('Link Following') - Nieprawidłowa Rezolucja Łączy Przed Dostępem do Pliku ('Obserwowanie Łączy') | Słownik CWE | CVEbaza.pl