脆弱性情報
高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
rclone: Unvalidated symlink target in local `--links` — arbitrary file write from an untrusted remote
脆弱性説明
Rclone is a command-line program to sync files and directories to and from different cloud storage providers. Prior to 1.74.4, with -l/--links, rclone serializes symlinks as .rclonelink text objects and recreates them on a local destination without validating the target, allowing an attacker-controlled remote to plant an escaping symlink and cause a following object write to land outside the destination with attacker-chosen contents. This issue is fixed in version 1.74.4.
CVSS情報
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:H/A:L
脆弱性タイプ
在文件访问前对链接解析不恰当(链接跟随)
脆弱性タイトル
Rclone 后置链接漏洞
脆弱性説明
Rclone是Rclone团队开源的一款同步文件到各类云存储服务的命令行工具。 Rclone 1.74.4之前版本存在后置链接漏洞,该漏洞源于在使用-l/--links参数时,将符号链接序列化为.rclonelink文本对象并在本地目标上重新创建时未验证目标,允许攻击者控制的远程服务器植入逃逸符号链接,导致后续对象写入落入目标之外并包含攻击者选择的内容。
CVSS情報
N/A
脆弱性タイプ
N/A