Spring-boot-actuator-logview en una biblioteca que agrega un visor de archivo de registro simple como punto final del actuador de arranque de resorte
Es el paquete maven "eu.hinsch: spring-boot-actuator-logview". En spring-boot-actuator-logview antes de la versión 0.2.13 hay una vulnerabilidad de recorrido de directorio. La naturaleza de esta biblioteca es exponer un directorio de archivos de registro a través de los puntos finales HTTP de administrador (actuador de arranque de primavera)
Tanto el nombre del archivo para ver como una carpeta base (relativa a la raíz de la carpeta de registro) se pueden especificar mediante parámetros de solicitud. Si bien se verificó el parámetro de nombre de archivo para evitar exploits de recorrido de directorio (de modo que `filename = .. / somefile` no funcionaría), el parámetro de carpeta base no se verificó lo suficiente, por lo que` filename = somefile & base = .. / `podría acceder a archivo fuera del directorio base de registro)
La vulnerabilidad se corrigió en la versión 0.2.13. Cualquier usuario de la versión 0.2.12 debería poder actualizar sin ningún problema, ya que no hay otros cambios en esa versión. No existe una solución alternativa para corregir la vulnerabilidad que no sea actualizar o eliminar la dependencia.
Sin embargo, eliminar el acceso de lectura del usuario con el que se ejecuta la aplicación a cualquier directorio que no sea necesario para ejecutar la aplicación puede limitar el impacto. Además, el acceso al punto final de Logview se puede limitar mediante la implementación de la aplicación detrás de un proxy inverso.
Impacto
La naturaleza de esta biblioteca es exponer un directorio de archivos de registro a través de los puntos finales HTTP de administrador (actuador de arranque de primavera). Tanto el nombre de archivo para ver como una carpeta base (relativa a la raíz de la carpeta de registro) se pueden especificar mediante parámetros de solicitud. Si bien se verificó el parámetro de nombre de archivo para evitar exploits transversales de directorio (por lo que filename=../somefileno funcionaría), el parámetro de carpeta base no se verificó lo suficiente, por lo que filename=somefile&base=../podría acceder a un archivo fuera del directorio base de registro).
Parches
La vulnerabilidad se corrigió en la versión 0.2.13. Cualquier usuario de la versión 0.2.12 debería poder actualizar sin ningún problema, ya que no hay otros cambios en esa versión.
Referencias:
https://github.com/lukashinsch/spring-boot-actuator-logview/security/advisories/GHSA-p4q6-qxjx-8jgp
https://search.maven.org/artifact/eu.hinsch/spring-boot-actuator-logview
Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias
