CVE-2023-49793

CodeChecker is an analyzer tooling, defect database and viewer extension for the Clang Static Analyzer and Clang Tidy. Zip files uploaded to the server endpoint of `CodeChecker store` are not properly sanitized. An attacker, using a path traversal attack, can load and display files on the machine of `CodeChecker server`. The vulnerable endpoint is `/Default/v6.53/CodeCheckerService@massStoreRun`. The path traversal vulnerability allows reading data on the machine of the `CodeChecker server`, with the same permission level as the `CodeChecker server`. The attack requires a user account on the `CodeChecker server`, with permission to store to a server, and view the stored report. This vulnerability has been patched in version 6.23.
Configurations

Configuration 1 (hide)

cpe:2.3:a:ericsson:codechecker:*:*:*:*:*:*:*:*

History

26 Jun 2024, 17:39

Type Values Removed Values Added
Summary
  • (es) CodeChecker es una herramienta de análisis, una base de datos de defectos y una extensión de visor para Clang Static Analyzer y Clang Tidy. Los archivos zip cargados en el extremo del servidor de "CodeChecker store" no se sanitizan adecuadamente. Un atacante, utilizando un ataque de path traversal, puede cargar y mostrar archivos en la máquina del "servidor CodeChecker". El endpoint vulnerable es `/Default/v6.53/CodeCheckerService@massStoreRun`. La vulnerabilidad de path traversal permite leer datos en la máquina del "servidor CodeChecker", con el mismo nivel de permiso que el "servidor CodeChecker". El ataque requiere una cuenta de usuario en el "servidor CodeChecker", con permiso para almacenar en un servidor y ver el informe almacenado. Esta vulnerabilidad ha sido parcheada en la versión 6.23.
First Time Ericsson codechecker
Ericsson
CPE cpe:2.3:a:ericsson:codechecker:*:*:*:*:*:*:*:*
References () https://github.com/Ericsson/codechecker/commit/46bada41e32f3ba0f6011d5c556b579f6dddf07a - () https://github.com/Ericsson/codechecker/commit/46bada41e32f3ba0f6011d5c556b579f6dddf07a - Patch
References () https://github.com/Ericsson/codechecker/security/advisories/GHSA-h26w-r4m5-8rrf - () https://github.com/Ericsson/codechecker/security/advisories/GHSA-h26w-r4m5-8rrf - Exploit, Vendor Advisory

24 Jun 2024, 18:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-06-24 18:15

Updated : 2024-06-26 17:39


NVD link : CVE-2023-49793

Mitre link : CVE-2023-49793

CVE.ORG link : CVE-2023-49793


JSON object : View

Products Affected

ericsson

  • codechecker
CWE
CWE-22

Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')