Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:N)
Производитель ПО
Наименование ПО
Oracle WebLogic Server
(12.1.3.0, 12.2.1.3, 12.2.1.4, 14.1.1.0)
Описание
Уязвимость в Apache Commons IO, при вызове метода FileNameUtils.normalize с неподходящими входными данными (например, "//../foo" или "\\..\foo", приводящими к одинаковому результату), позволяет злоумышленникам получить доступ к файлам родительского каталога, но не более высокого уровня (так называемый "ограниченный" выход за пределы каталога), если вызывающий код использует результат для построения пути.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.oracle.com/
http://www.oracle.com/
Ссылки
https://www.oracle.com/security-alerts/cpujan2022.html
Источник: CVE
Наименование: CVE-2021-29425
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-29425
Источник: CVE
Наименование: CVE-2021-29425
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-29425