Plataforma
java
Componente
goobi-viewer-core
Corregido en
4.8.4
La vulnerabilidad CVE-2020-15124 es una falla de Path Traversal descubierta en Goobi Viewer Core, afectando versiones anteriores o iguales a 4.8.3. Esta vulnerabilidad permite a atacantes remotos acceder a archivos en el servidor, potencialmente exponiendo información sensible. La versión 4.8.3 incluye una corrección para mitigar este riesgo. Se recomienda actualizar a esta versión lo antes posible.
Un atacante que explote esta vulnerabilidad puede leer archivos arbitrarios en el servidor, siempre y cuando el usuario del servidor de aplicaciones (por ejemplo, Tomcat) tenga permisos de acceso. Esto podría incluir archivos de configuración, código fuente, o incluso datos sensibles almacenados en el servidor. El impacto potencial es la exposición de información confidencial, lo que podría llevar a la comprometer la integridad y confidencialidad del sistema. Aunque el acceso está limitado a los permisos del usuario del servidor de aplicaciones, en entornos con configuraciones incorrectas, esto podría permitir el acceso a información crítica.
La vulnerabilidad fue publicada el 22 de julio de 2020. No se ha reportado explotación activa en entornos reales, pero la alta puntuación CVSS (9.6) indica un riesgo significativo. La naturaleza de la vulnerabilidad de Path Traversal la hace relativamente fácil de explotar, lo que aumenta la probabilidad de que sea objeto de ataques. Se recomienda monitorear activamente los sistemas afectados.
Organizations utilizing Goobi Viewer Core in production environments, particularly those with sensitive data stored on the server, are at risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as a compromised Goobi Viewer Core instance could potentially expose data belonging to other users.
• java / server:
find /var/lib/tomcat/webapps/goobi-viewer-core/ -name "*.properties"• generic web:
curl -I 'http://your-goobi-viewer-core-url/../../../../etc/passwd' # Check for file disclosuredisclosure
Estado del Exploit
EPSS
0.19% (40% percentil)
Vector CVSS
La mitigación principal para CVE-2020-15124 es actualizar Goobi Viewer Core a la versión 4.8.3 o superior. Si la actualización no es inmediatamente posible, se recomienda restringir los permisos del usuario del servidor de aplicaciones para limitar el acceso a archivos sensibles. Implementar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan secuencias de caracteres sospechosas en la ruta del archivo puede ayudar a mitigar el riesgo. Verificar que el servidor de aplicaciones se ejecute con el mínimo privilegio necesario para su correcto funcionamiento.
Actualice Goobi Viewer Core a la versión 4.8.3 o superior. Esta versión contiene la corrección para la vulnerabilidad de path traversal. La actualización se puede realizar descargando la nueva versión desde el sitio web del proveedor e instalándola según las instrucciones proporcionadas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2020-15124 is a critical vulnerability in Goobi Viewer Core versions 4.8.3 and earlier, allowing attackers to access files on the server through path manipulation.
If you are running Goobi Viewer Core version 4.8.3 or earlier, you are affected by this vulnerability and should upgrade immediately.
Upgrade Goobi Viewer Core to version 4.8.3 or later. As a temporary measure, restrict file access permissions and configure a WAF.
There is currently no evidence of active exploitation, but the vulnerability's nature makes it easily exploitable.
Refer to the Goobi Viewer Core documentation and release notes for details on the fix and any related advisories.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.