一、 漏洞 CVE-2021-23331 基础信息
漏洞标题
不安全的临时文件
来源:AIGC 神龙大模型
漏洞描述信息
此问题影响com.squareup:connect的所有版本。方法prepareDownloadFile创建在类Unix系统上具有权限位-rw-r--r--的临时文件。在类Unix系统上,系统临时目录被用户共享。因此,通过downloadFileFromResponse下载的文件内容对本地系统上的所有其他用户可见。针对此问题的临时解决方案是将系统属性java.io.tmpdir设置为安全目录作为补救措施。注意:此版本的SDK已终止生命周期,不再维护,请升级到最新版本。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
Insecure Temporary File
来源:美国国家漏洞数据库 NVD
漏洞描述信息
This affects all versions of package com.squareup:connect. The method prepareDownloadFilecreates creates a temporary file with the permissions bits of -rw-r--r-- on unix-like systems. On unix-like systems, the system temporary directory is shared between users. As such, the contents of the file downloaded by downloadFileFromResponse will be visible to all other users on the local system. A workaround fix for this issue is to set the system property java.io.tmpdir to a safe directory as remediation. Note: This version of the SDK is end of life and no longer maintained, please upgrade to the latest version.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Sencha Connect 访问控制错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Sencha Connect是美国Sencha公司的一个基于Javascript为Node http server提供扩展功能的代码库。 Sencha Connect 存在访问控制错误漏洞,该漏洞源于由downloadFileFromResponse下载的文件的内容对本地系统上的所有其他用户都是可见的。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2021-23331 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2021-23331 的情报信息