One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8342758 |
| Date de publication | 2023-06-06 20:15:14 (vue: 2023-06-06 23:07:00) |
| Titre | CVE-2023-34409 |
| Texte | Dans le serveur de surveillance et de gestion (PMM) Percona 2.x avant 2.37.1, la fonction authentificative dans auth_server.go ne formalise pas et ne désinfecte pas correctement les chemins d'URL pour rejeter les tentatives de traversée de chemin de chemin.Cela permet à un utilisateur distant non authentifié, lorsqu'une demande de poste fabriquée est effectuée sur les routes API non authentifiées, pour accéder aux itinéraires API autrement protégés conduisant à l'escalade de privilèges et à la divulgation d'informations.
In Percona Monitoring and Management (PMM) server 2.x before 2.37.1, the authenticate function in auth_server.go does not properly formalize and sanitize URL paths to reject path traversal attempts. This allows an unauthenticated remote user, when a crafted POST request is made against unauthenticated API routes, to access otherwise protected API routes leading to escalation of privileges and information disclosure. |
| Notes | |
| Envoyé | Oui |
| Condensat | 2023 34409 access against allows api attempts auth authenticate before crafted cve disclosure does escalation formalize function information leading made management monitoring not otherwise path paths percona pmm post privileges properly protected reject remote request routes sanitize server traversal unauthenticated url user when |
| Tags | |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.