وصف المشكلة
أثناء تقييم أمني لنشر Discourse المخصص لدينا، اكتشفنا ثغرة محتملة في اجتياز الدليل تتعلق بنقطة النهاية /uploads/*.
تفاصيل المشكلة
-
الوصول إلى
/uploads/يسمح للمستخدمين بجلب الملفات من أدلة تحميل عشوائية عن طريق معالجة مسار عنوان URL. -
على سبيل المثال، من الممكن اجتياز والوصول إلى الملفات عبر أدلة تحميل مختلفة يجب فصلها منطقياً أو حمايتها.
-
يمكن أن يسمح هذا السلوك للمستخدمين غير المصرح لهم بالوصول إلى الملفات أو المرفقات الحساسة غير المخصصة لهم، مما يشكل خطرًا أمنيًا.
مثال
لنفترض أن المستخدم أ قام بتحميل ملف في رسائله الخاصة (أو سياق مقيد آخر).
يمكن للمهاجم صياغة عنوان URL مثل:
https://\u003cyour-forum-domain\u003e/uploads/default/original/1X/../../another_directory/secret_file.jpg
يسمح هذا للمهاجم بالاجتياز لأعلى شجرة الدليل والوصول إلى الملفات في أدلة أخرى.
التأثير الأمني
-
الكشف غير المصرح به عن الملفات الخاصة أو الداخلية أو المقيدة بأي شكل آخر.
-
تصعيد محتمل اعتمادًا على محتوى الملف.
أسئلة / ملاحظات مطلوبة
-
هل هذا سلوك متوقع في التنفيذ الحالي للتحميل؟
-
هل هناك أي تكوينات أو تصحيحات موصى بها لمنع اجتياز الدليل في
/uploads/؟ -
هل تمت مناقشة هذه المشكلة أو التخفيف منها في Discourse الرئيسي؟
-
هل لديكم إرشادات لمزيد من تأمين الوصول إلى الملفات في عمليات نشر Discourse؟
شكراً لاهتمامكم وملاحظاتكم حول هذه المشكلة المحتملة.