CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2017-5630

Low
Published: Translated: NVD NIST

Summary

W PECL w klasie narzędzia pobierania w Instalatorze w systemie bazowym PEAR w wersji 1.10.1 nie jest weryfikowany typ plików i nazwy plików po przekierowaniu, co pozwala zdalnym serwerom HTTP na nadpisywanie plików za pomocą odpowiednio skonstruowanych odpowiedzi, co zostało zademonstrowane przez nadpisanie pliku .htaccess.

Risk Assessment

Podatność ta może prowadzić do nieautoryzowanego nadpisania plików na serwerze, co stwarza ryzyko utraty danych oraz potencjalnego przejęcia kontroli nad aplikacją. Organizacje mogą być narażone na ataki, które mogą wpłynąć na integralność ich systemów.

Recommendation

Zaleca się aktualizację systemu PEAR do najnowszej wersji, która zawiera poprawki zabezpieczeń. Dodatkowo, warto wdrożyć mechanizmy weryfikacji typów plików i nazw plików w aplikacjach korzystających z tego systemu.

Original NVD description (English source)

PECL in the download utility class in the Installer in PEAR Base System v1.10.1 does not validate file types and filenames after a redirect, which allows remote HTTP servers to overwrite files via crafted responses, as demonstrated by a .htaccess overwrite.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS