Vulnerabilidad en McWebserver mod (CVE-2022-39221)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)

Fecha de publicación:

21/09/2022

Última modificación:

23/09/2022

Descripción

McWebserver mod ejecuta un simple servidor HTTP junto con el servidor de Minecraft en hilos separados. UnSalto de Ruta en McWebserver Minecraft Mod para Fabric y Quilt versiones hasta 0.1.2.1 incluyéndola y McWebserver Minecraft Mod para Forge versiones hasta 0.1.1 incluyéndola, permite que todos los archivos, accesibles por el programa, sean leídos por cualquiera por medio de una petición HTTP. La versión 0.2.0 con parches son liberadas a ambas plataformas (Fabric y Quilt, Forge). Como mitigación, el mod McWebserver puede ser deshabilitado al eliminar el archivo del directorio "mods"

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:mcwebserver_minecraft_mod_for_fabric_and_quilt_project:mcwebserver_minecraft_mod_for_fabric_and_quilt::::::::		0.1.2.1 (incluyendo)
cpe:2.3:a:mcwebserver_minecraft_mod_for_forge_project:mcwebserver_minecraft_mod_for_forge::::::::		0.1.1 (incluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Vulnerabilidad en McWebserver mod (CVE-2022-39221)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información