CVE-2024-47818

See a problem?
Please try reporting it to the source first.

Source

https://nvd.nist.gov/vuln/detail/CVE-2024-47818

Import Source

https://storage.googleapis.com/osv-test-cve-osv-conversion/osv-output/CVE-2024-47818.json

JSON Data

https://api.test.osv.dev/v1/vulns/CVE-2024-47818

Aliases

GHSA-43f3-h63w-p6f6

Published

2024-10-07T22:15:04Z

Modified

2024-10-12T11:31:42.013018Z

Summary

[none]

Details

Saltcorn is an extensible, open source, no-code database application builder. A logged-in user with any role can delete arbitrary files on the filesystem by calling the sync/clean_sync_dir endpoint. The dir_name POST parameter is not validated/sanitized and is used to construct the syncDir that is deleted by calling fs.rm. This issue has been addressed in release version 1.0.0-beta16 and all users are advised to upgrade. There are no known workarounds for this vulnerability.

References

Affected packages

Git / github.com/saltcorn/saltcorn

Affected ranges

Type: GIT
Repo: https://github.com/saltcorn/saltcorn
Events: Introduced

0 Unknown introduced commit / All previous commits are affected

Fixed

3c551261d0e230635774798009951fa83a07cc3a

Affected versions

@saltcorn/cli@0.*

@saltcorn/cli@0.1.0

@saltcorn/cli@0.1.1

@saltcorn/cli@0.1.2

@saltcorn/cli@0.1.3

@saltcorn/cli@0.1.4

@saltcorn/cli@0.2.0

@saltcorn/cli@0.2.0-rc.0

@saltcorn/cli@0.2.0-rc.1

@saltcorn/cli@0.2.1

@saltcorn/cli@0.2.1-beta.0

@saltcorn/cli@0.2.1-beta.1

@saltcorn/cli@0.2.1-beta.2

@saltcorn/cli@0.2.2

@saltcorn/cli@0.2.2-beta.0

@saltcorn/cli@0.2.3

@saltcorn/cli@0.2.3-beta.0

@saltcorn/cli@0.2.3-beta.1

@saltcorn/cli@0.2.3-beta.2

@saltcorn/cli@0.3.0

@saltcorn/cli@0.3.0-beta.0

@saltcorn/cli@0.3.0-beta.1

@saltcorn/cli@0.3.0-beta.2

@saltcorn/cli@0.3.1

@saltcorn/cli@0.3.1-beta.0

@saltcorn/cli@0.3.1-beta.1

@saltcorn/cli@0.3.2

@saltcorn/cli@0.3.2-beta.0

@saltcorn/cli@0.3.2-beta.1

@saltcorn/cli@0.3.2-beta.2

@saltcorn/cli@0.3.3

@saltcorn/cli@0.3.4

@saltcorn/cli@0.3.4-beta.0

@saltcorn/cli@0.3.4-beta.1

@saltcorn/cli@0.3.5

@saltcorn/cli@0.3.5-beta.0

@saltcorn/cli@0.4.0

@saltcorn/cli@0.4.0-beta.0

@saltcorn/cli@0.4.0-beta.1

@saltcorn/cli@0.4.1-beta.0

chaos-guinea-pig@0.*

chaos-guinea-pig@0.0.10

chaos-guinea-pig@0.0.11

chaos-guinea-pig@0.0.12

chaos-guinea-pig@0.0.13

chaos-guinea-pig@0.0.14

chaos-guinea-pig@0.0.15

chaos-guinea-pig@0.0.16

chaos-guinea-pig@0.0.17-alpha.0

contractis@0.*

contractis@0.0.10

contractis@0.0.11

contractis@0.0.12

contractis@0.0.13

contractis@0.0.14

contractis@0.0.15-alpha.0

v0.*

v0.0.1

v0.0.2

v0.0.3

v0.0.4

v0.0.5

v0.0.6

v0.0.7

v0.0.8

v0.4.1

v0.4.2

v0.4.2-beta.0

v0.4.3

v0.4.3-beta.0

v0.4.3-beta.1

v0.4.3-beta.2

v0.4.4

v0.4.4-beta.0

v0.4.4-beta.1

v0.4.4-beta.2

v0.4.4-beta.3

v0.4.4-beta.5

v0.4.5

v0.4.5-beta.0

v0.4.5-beta.1

v0.5.0

v0.5.0-alpha.0

v0.5.0-alpha.1

v0.5.0-beta.0

v0.5.0-beta.1

v0.5.1

v0.5.1-alpha.0

v0.5.1-alpha.1

v0.5.1-beta.0

v0.5.1-beta.1

v0.5.2

v0.5.2-beta.0

v0.5.2-beta.1

v0.5.3

v0.5.3-alpha.2

v0.5.3-beta.0

v0.5.3-beta.1

v0.5.4

v0.5.4-beta.0

v0.5.4-beta.1

v0.5.5

v0.5.5-beta.0

v0.5.5-beta.1

v0.5.6

v0.5.6-beta.0

v0.5.6-beta.1

v0.5.6-beta.2

v0.5.6-beta.3

v0.5.6-rc.0

v0.6.0

v0.6.0-alpha.0

v0.6.0-beta.0

v0.6.0-beta.1

v0.6.0-beta.2

v0.6.0-beta.3

v0.6.0-beta.4

v0.6.1

v0.6.1-beta.0

v0.6.1-beta.1

v0.6.1-beta.2

v0.6.1-beta.3

v0.6.2

v0.6.2-beta.0

v0.6.2-beta.1

v0.6.2-beta.2

v0.6.2-beta.4

v0.6.2-beta.5

v0.6.3

v0.6.3-beta.0

v0.6.3-beta.1

v0.6.3-beta.2

v0.6.3-beta.3

v0.6.4

v0.6.4-beta.1

v0.6.4-beta.2

v0.6.4-beta.3

v0.6.4-beta.4

v0.6.4-beta.5

v0.6.4-beta.6

v0.7.0

v0.7.0-beta.0

v0.7.0-beta.1

v0.7.0-beta.2

v0.7.0-beta.3

v0.7.0-beta.4

v0.7.0-beta.5

v0.7.1

v0.7.1-beta.0

v0.7.1-beta.1

v0.7.1-beta.2

v0.7.1-beta.3

v0.7.2

v0.7.2-beta.0

v0.7.2-beta.10

v0.7.2-beta.2

v0.7.2-beta.3

v0.7.2-beta.4

v0.7.2-beta.5

v0.7.2-beta.6

v0.7.2-beta.7

v0.7.2-beta.9

v0.7.3

v0.7.3-beta.0

v0.7.3-beta.1

v0.7.3-beta.2

v0.7.3-beta.3

v0.7.3-beta.6

v0.7.3-beta.7

v0.7.4

v0.7.4-beta.0

v0.7.4-beta.1

v0.7.4-beta.2

v0.7.4-beta.3

v0.8.0

v0.8.0-beta.0

v0.8.0-beta.1

v0.8.0-beta.2

v0.8.0-beta.3

v0.8.0-beta.4

v0.8.1

v0.8.1-beta.0

v0.8.1-beta.1

v0.8.1-beta.2

v0.8.1-beta.3

v0.8.1-beta.4

v0.8.1-beta.5

v0.8.1-rc.2

v0.8.1-rc.3

v0.8.2

v0.8.2-beta.0

v0.8.3

v0.8.3-alpha.0

v0.8.3-alpha.1

v0.8.3-alpha.2

v0.8.3-beta.0

v0.8.3-beta.1

v0.8.3-beta.2

v0.8.3-beta.3

v0.8.4

v0.8.5

v0.8.5-beta.0

v0.8.5-beta.1

v0.8.5-beta.2

v0.8.5-beta.3

v0.8.5-beta.4

v0.8.5-beta.5

v0.8.5-beta.6

v0.8.5-beta.7

v0.8.5-beta.8

v0.8.5-rc.1

v0.8.5-rc.2

v0.8.6

v0.8.6-beta.1

v0.8.6-beta.10

v0.8.6-beta.11

v0.8.6-beta.12

v0.8.6-beta.13

v0.8.6-beta.14

v0.8.6-beta.15

v0.8.6-beta.16

v0.8.6-beta.17

v0.8.6-beta.18

v0.8.6-beta.19

v0.8.6-beta.2

v0.8.6-beta.3

v0.8.6-beta.4

v0.8.6-beta.5

v0.8.6-beta.6

v0.8.6-beta.7

v0.8.6-beta.8

v0.8.6-beta.9

v0.8.7

v0.8.7-beta.0

v0.8.7-beta.1

v0.8.7-beta.2

v0.8.7-beta.3

v0.8.7-beta.4

v0.8.7-beta.5

v0.8.7-beta.6

v0.8.8-beta.0

v0.8.8-beta.1

v0.8.8-beta.2

v0.8.8-beta.3

v0.8.8-beta.4

v0.8.8-beta.5

v0.8.8-beta.6

v0.8.8-beta.7

v0.8.9

v0.9.0

v0.9.0-beta.0

v0.9.0-beta.1

v0.9.0-beta.10

v0.9.0-beta.11

v0.9.0-beta.2

v0.9.0-beta.3

v0.9.0-beta.4

v0.9.0-beta.6

v0.9.0-beta.7

v0.9.0-beta.8

v0.9.0-beta.9

v0.9.1

v0.9.1-beta.0

v0.9.1-beta.10

v0.9.1-beta.11

v0.9.1-beta.12

v0.9.1-beta.13

v0.9.1-beta.14

v0.9.1-beta.15

v0.9.1-beta.16

v0.9.1-beta.17

v0.9.1-beta.18

v0.9.1-beta.19

v0.9.1-beta.2

v0.9.1-beta.3

v0.9.1-beta.4

v0.9.1-beta.5

v0.9.1-beta.6

v0.9.1-beta.7

v0.9.1-beta.8

v0.9.1-beta.9

v0.9.2

v0.9.2-rc.1

v0.9.3

v0.9.3-beta.0

v0.9.3-beta.1

v0.9.3-beta.3

v0.9.3-beta.5

v0.9.3-beta.6

v0.9.3-beta.7

v0.9.3-beta.8

v0.9.3-rc.1

v0.9.4

v0.9.4-beta.0

v0.9.4-beta.1

v0.9.4-beta.10

v0.9.4-beta.11

v0.9.4-beta.12

v0.9.4-beta.13

v0.9.4-beta.14

v0.9.4-beta.15

v0.9.4-beta.16

v0.9.4-beta.17

v0.9.4-beta.18

v0.9.4-beta.19

v0.9.4-beta.2

v0.9.4-beta.20

v0.9.4-beta.21

v0.9.4-beta.22

v0.9.4-beta.23

v0.9.4-beta.3

v0.9.4-beta.4

v0.9.4-beta.5

v0.9.4-beta.6

v0.9.4-beta.7

v0.9.4-beta.8

v0.9.4-beta.9

v0.9.5

v0.9.5-beta.0

v0.9.5-beta.1

v0.9.5-beta.10

v0.9.5-beta.11

v0.9.5-beta.12

v0.9.5-beta.13

v0.9.5-beta.14

v0.9.5-beta.15

v0.9.5-beta.16

v0.9.5-beta.17

v0.9.5-beta.19

v0.9.5-beta.2

v0.9.5-beta.20

v0.9.5-beta.21

v0.9.5-beta.22

v0.9.5-beta.23

v0.9.5-beta.24

v0.9.5-beta.25

v0.9.5-beta.26

v0.9.5-beta.27

v0.9.5-beta.28

v0.9.5-beta.3

v0.9.5-beta.4

v0.9.5-beta.6

v0.9.5-beta.7

v0.9.5-beta.8

v0.9.5-beta.9

v0.9.6

v0.9.6-beta.0

v0.9.6-beta.1

v0.9.6-beta.10

v0.9.6-beta.11

v0.9.6-beta.12

v0.9.6-beta.13

v0.9.6-beta.14

v0.9.6-beta.15

v0.9.6-beta.16

v0.9.6-beta.17

v0.9.6-beta.18

v0.9.6-beta.19

v0.9.6-beta.2

v0.9.6-beta.20

v0.9.6-beta.3

v0.9.6-beta.4

v0.9.6-beta.5

v0.9.6-beta.6

v0.9.6-beta.7

v0.9.6-beta.8

v0.9.6-beta.9

v0.9.7

v0.9.7-rc.0

v0.9.8

v0.9.8-rc.0

v1.*

v1.0.0-beta.0

v1.0.0-beta.1

v1.0.0-beta.10

v1.0.0-beta.11

v1.0.0-beta.13

v1.0.0-beta.14

v1.0.0-beta.15

v1.0.0-beta.2

v1.0.0-beta.3

v1.0.0-beta.4

v1.0.0-beta.5

v1.0.0-beta.6

v1.0.0-beta.7

v1.0.0-beta.9