CVE-2020-36565 – Directory traversal on Windows in github.com/labstack/echo/v4
https://notcve.org/view.php?id=CVE-2020-36565
Due to improper sanitization of user input on Windows, the static file handler allows for directory traversal, allowing an attacker to read files outside of the target directory that the server has permission to read. Debido a una sanitización incorrecta de la entrada del usuario en Windows, el controlador de archivos estáticos permite directory traversal, lo que permite a un atacante leer archivos fuera del directorio de destino para los que el servidor tiene permiso de lectura. • https://github.com/labstack/echo/commit/4422e3b66b9fd498ed1ae1d0242d660d0ed3faaa https://github.com/labstack/echo/pull/1718 https://pkg.go.dev/vuln/GO-2021-0051 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVE-2009-5135 – NextApp Echo < 2.1.1 - XML Injection
https://notcve.org/view.php?id=CVE-2009-5135
The Java XML parser in Echo before 2.1.1 and 3.x before 3.0.b6 allows remote attackers to read arbitrary files via a request containing an external entity declaration in conjunction with an entity reference, related to an XML External Entity (XXE) issue. El analizador Java XML en Echo antes v2.1.1 v3.x antes v3.0.b6 permite a atacantes remotos leer archivos arbitrarios a través de una petición que contenga una declaración de entidad externa, en relación con una referencia de entidad, en relación con una entidad externa XML (XXE) tema. • https://www.exploit-db.com/exploits/8191 http://echo.nextapp.com/site/node/5742 http://secunia.com/advisories/34218 http://www.exploit-db.com/exploits/8191 http://www.securityfocus.com/archive/1/501637/100/0/threaded http://www.vupen.com/english/advisories/2009/0653 https://exchange.xforce.ibmcloud.com/vulnerabilities/49167 https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20090305-0_echo_nextapp_xml_injection.txt • CWE-20: Improper Input Validation •