Katalog CVE

CVE-2026-2331

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Atakujący może przeprowadzać nieautoryzowane operacje odczytu i zapisu w wrażliwych obszarach systemu plików za pomocą AppEngine Fileaccess przez HTTP z powodu niewłaściwych ograniczeń dostępu. Krytyczny katalog systemu plików został niezamierzenie ujawniony przez funkcję dostępu do plików opartą na HTTP, co umożliwia dostęp bez uwierzytelnienia.

Ocena ryzyka

Ujawnienie wrażliwych plików konfiguracyjnych może prowadzić do modyfikacji ustawień aplikacji, w tym haseł użytkowników. Dodatkowo, możliwość wykonania dowolnego kodu Lua w środowisku AppEngine może stwarzać poważne zagrożenie dla bezpieczeństwa aplikacji.

Rekomendacja

Zaleca się wprowadzenie odpowiednich ograniczeń dostępu do krytycznych katalogów systemu plików oraz audyt istniejących ustawień bezpieczeństwa w celu zabezpieczenia aplikacji przed nieautoryzowanym dostępem.

Oryginalny opis (angielski, źródło NVD)

An attacker may perform unauthenticated read and write operations on sensitive filesystem areas via the AppEngine Fileaccess over HTTP due to improper access restrictions. A critical filesystem directory was unintentionally exposed through the HTTP-based file access feature, allowing access without authentication. This includes device parameter files, enabling an attacker to read and modify application settings, including customer-defined passwords. Additionally, exposure of the custom application directory may allow execution of arbitrary Lua code within the sandboxed AppEngine environment.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS