Vulnerabilidad en un directorio de archivos de registro por medio de los endpoints HTTP de administración en el parámetro base folder en spring-boot-actuator-logview (CVE-2021-21234)

spring-boot-actuator-logview en una biblioteca que agrega un visualizador de archivo de registro simple como endpoint del actuador de arranque de resorte. Es el paquete maven "eu.hinsch: spring-boot-actuator-logview". En spring-boot-actuator-logview antes de la versión 0.2.13 se presenta una vulnerabilidad de salto de directorio. La naturaleza de esta biblioteca es exponer un directorio de archivos de registro por medio de los endpoints HTTP de administración (actuador de arranque de resorte). Tanto el nombre del archivo a visualizar como una carpeta base (relativa a la carpeta root de registro) se pueden especificar mediante parámetros de petición. Si bien el parámetro filename se verificó para impedir la explotación del salto de directorio (de modo que "filename=../somefile" no funcionaría), el parámetro base folder no se verificó lo suficiente, por lo que "filename=somefile&base=.." podría acceder a un archivo fuera del directorio base del registro). La vulnerabilidad se corrigió en la versión 0.2.13. Cualquier usuario de la versión 0.2.12 debería poder actualizar sin ningún problema, ya que no existen otros cambios en esa versión. No existe una solución alternativa para corregir la vulnerabilidad que no sea actualizar o eliminar la dependencia. Sin embargo, eliminar el acceso de lectura del usuario con el que se ejecuta la aplicación en cualquier directorio que no sea necesario para ejecutar la aplicación puede limitar el impacto. Además, el acceso al endpoint de Logview se puede limitar mediante la implementación de la aplicación detrás de un proxy inverso