資產控制器中的路徑穿越
CVE ID
CVE-2018-13864
日期
2018 年 7 月 16 日
說明
當應用程式在 Windows 上執行時,Play 資產控制器無法正確處理路徑。這會讓應用程式暴露於路徑穿越漏洞中。
影響
當應用程式在 Windows 上執行時,可能會存取儲存在 public 資料夾外部的類別路徑上的檔案,例如 conf/application.conf 檔案。
請注意,此問題只會影響 Windows,不會影響 Linux。
受影響版本
- Play 2.6.12-2.6.15
2.6.12 之前的版本,包括 2.5.x 及更早版本,不受此漏洞影響。
修正
此問題已在 Play 2.6.16 中修正。
CVSS 指標 (更多資訊)
整體:6.7
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N/E:P/RL:O/RC:C
致謝
發現此漏洞的功勞歸於奇虎 360 紅隊。