Pleroma路径遍历漏洞·CVE-2023-5588
漏洞概述
在kphrx维护的Pleroma项目中发现了一个安全漏洞,该漏洞被归类为问题性漏洞。漏洞影响位于lib/pleroma/emoji/pack.ex文件中的Pleroma.Emoji.Pack功能函数。
技术细节
受影响组件
- 软件包: erlang
- 项目: pleroma (Erlang)
漏洞类型
该漏洞涉及对参数name的操纵导致路径遍历攻击。攻击者可能通过构造特殊路径名来访问受限目录之外的文件位置。
影响版本
- 受影响版本: < 2.5.3
- 已修复版本: 2.5.3
漏洞特征
攻击复杂度
- 攻击复杂度: 高
- 可利用性: 困难
安全评分
- 严重程度: 低
- CVSS总体评分: 2.6/10
CVSS v3基础指标
- 攻击向量: 相邻网络
- 攻击复杂度: 高
- 所需权限: 低
- 用户交互: 无
- 作用范围: 未改变
- 机密性影响: 低
- 完整性影响: 无
- 可用性影响: 无
修复方案
补丁信息
修复补丁名为:2c795094535537a8607cc0d3b7f076a609636f40
建议措施
推荐应用该补丁来修复此安全问题。
相关标识符
- 漏洞标识: VDB-242187
- CVE ID: CVE-2023-5588
- GHSA ID: GHSA-2c28-m2m7-mf55
弱点分类
- 弱点类型: CWE-22
- 描述: 对受限目录路径名的不当限制(路径遍历)
- 详情: 产品使用外部输入构建路径名,旨在识别位于受限父目录下的文件或目录,但产品未能正确中和路径名中的特殊元素,可能导致路径名解析到受限目录之外的位置。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2023-5588
- kphrx/pleroma#197
- kphrx/pleroma@2c79509
- https://vuldb.com/?ctiid.242187
- https://vuldb.com/?id.242187
- https://github.com/kphrx/pleroma/commits/v2.5.3