Vulnerabilidad en el software CraftBeerPi 4
mayo 22, 2024
ID CVE | CVE-2024-3955 |
Fecha de publicación | 02 mayo 2024 |
Proveedor | PiBrewing, CraftBeerPi – Controlador de elaboración de cerveza |
Producto | Cerveza ArtesanalPi 4 |
Versiones vulnerables | de 4.0.0.58 (compromiso 563fae9) a 4.4.1.a1 (compromiso 57572c7) |
Tipo de vulnerabilidad (CWE) | Control inadecuado de la generación de código («Inyección de código») (CWE-94) |
Fuente del informe | Informe al CERT Polonia |
Descripción
CERT Polska recibió un informe sobre la vulnerabilidad en el software PiBrewing CraftBeerPi 4 y le asignó un registro CVE.
la vulnerabilidad CVE-2024-3955 permite ejecutar código arbitrario debido a la falta de validación previa del parámetro URL GET «logtime» en el módulo «cbpi/controller/system_controller.py».
Este problema afecta al software CraftBeerPi 4 desde 4.0.0.58 (compromiso 563fae9) anterior a 4.4.1.a1 (compromiso 57572c7).
Créditos
Agradecemos a Pondzik por el informe de vulnerabilidad responsable.
Puede encontrar más información sobre el proceso coordinado de divulgación de vulnerabilidades en CERT Polska en https://cert.pl/es/cvd/.