Assets 控制器中的路径遍历
CVE ID
CVE-2018-13864
日期
2018 年 7 月 16 日
描述
当应用程序在 Windows 上运行时,Play Assets 控制器没有正确处理路径。这使得应用程序容易受到路径遍历攻击。
影响
当应用程序在 Windows 上运行时,可以访问存储在 public 文件夹之外的类路径上的文件,例如 conf/application.conf 文件。
请注意,此问题仅影响 Windows,不影响 Linux。
受影响的版本
- Play 2.6.12-2.6.15
2.6.12 之前的版本,包括 2.5.x 及更早版本,不受此漏洞影响。
修复
此问题已在 Play 2.6.16 中修复。
CVSS 指标 (更多信息)
总体:6.7
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N/E:P/RL:O/RC:C
致谢
感谢 Qihoo360 红队发现此漏洞。