CVE-2024-6049

The web server of Lawo AG vsm LTC Time Sync (vTimeSync) is affected by a "..." (triple dot) path traversal vulnerability. By sending a specially crafted HTTP request, an unauthenticated remote attacker could download arbitrary files from the operating system. As a limitation, the exploitation is only possible if the requested file has some file extension, e. g. .exe or .txt.
Configurations

No configuration.

History

21 Nov 2024, 09:48

Type Values Removed Values Added
References
  • () http://seclists.org/fulldisclosure/2024/Oct/7 -

24 Oct 2024, 15:35

Type Values Removed Values Added
Summary
  • (es) El servidor web de Lawo AG vsm LTC Time Sync (vTimeSync) está afectado por una vulnerabilidad de path traversal "..." (tres puntos). Al enviar una solicitud HTTP especialmente manipulada, un atacante remoto no autenticado podría descargar archivos arbitrarios del sistema operativo. Como limitación, la explotación solo es posible si el archivo solicitado tiene alguna extensión de archivo, por ejemplo, .exe o .txt.
CVSS v2 : unknown
v3 : unknown
v2 : unknown
v3 : 7.5

24 Oct 2024, 08:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-10-24 08:15

Updated : 2024-11-21 09:48


NVD link : CVE-2024-6049

Mitre link : CVE-2024-6049

CVE.ORG link : CVE-2024-6049


JSON object : View

Products Affected

No product.

CWE
CWE-32

Path Traversal: '...' (Triple Dot)