1 results (0.001 seconds)

CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0

An absolute path traversal vulnerability (CWE-36) in Micro Focus Vibe 4.0.2 and earlier allows a remote authenticated attacker to download arbitrary files from the server by submitting a specially crafted request to the viewFile endpoint. Note that the attack can be performed without authentication if Guest access is enabled (Guest access is disabled by default). Una vulnerabilidad de salto de directorio (CWE-36) en Micro Focus Vibe 4.0.2 y versiones anteriores permite a un atacante remoto autenticado descargar archivos arbitrarios del servidor mediante el envío de una solicitud especialmente creada al endpoint viewFile. Tenga en cuenta que el ataque se puede realizar sin autenticación si el acceso de invitado está activado (acceso de invitado está desactivado de forma predeterminada). • https://www.novell.com/support/kb/doc.php?id=7019005 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •