漏洞标题
第1.17.5节 - 通过聊天附件的LFR
漏洞描述信息
版本为1.17.5的会话允许在用户设备上获取应用程序的内部文件和公开文件,而无需用户的同意。这是可行的,因为应用程序存在通过聊天附件进行本地文件读取的漏洞。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
漏洞类别
对路径名的限制不恰当(路径遍历)
漏洞标题
Session 1.17.5 - LFR via chat attachment
漏洞描述信息
Session version 1.17.5 allows obtaining internal application files and public
files from the user's device without the user's consent. This is possible
because the application is vulnerable to Local File Read via chat attachments.
CVSS信息
CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:N/A:N
漏洞类别
对路径名的限制不恰当(路径遍历)
漏洞标题
Session 路径遍历漏洞
漏洞描述信息
Session是Oxen开源的一种新型的加密私人信使。 Session 1.17.5版本存在路径遍历漏洞。攻击者利用该漏洞可以从用户的设备获取内部应用程序文件和公共文件。
CVSS信息
N/A
漏洞类别
路径遍历