Vulnerabilidad en Apache ODE (CVE-2018-1316)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
05/03/2018
Última modificación:
07/11/2023
Descripción
El servicio web de despliegue del proceso ODE era sensible a mensajes de despliegue con nombres falsificados. El uso de una ruta para el nombre permitía salto de directorio, lo que resultaba en la potencial escritura de archivos en ubicaciones no deseadas, la sobrescritura de archivos existente o su eliminación. Este problema fue abordado en Apache ODE 1.3.3, que se lanzó en 2009. Sin embargo, el nombre incorrecto CVE-2008-2370 se empleó en el advisory por error.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
6.40
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:ode:*:*:*:*:*:*:*:* | 1.1.1 (excluyendo) | 1.3.2 (incluyendo) |
| cpe:2.3:a:apache:ode:1.0:incubating:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:ode:1.0:rc1-incubating:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:ode:1.0:rc2-incubating:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:ode:1.0:rc3-incubating:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:ode:1.0:rc4-incubating:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:ode:1.1:rc1:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:ode:1.1:rc2:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:ode:1.1:rc3:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:ode:1.1:rc4:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:ode:1.1:rc5:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:ode:1.1.1:rc1:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página