Skip to main content

Vulnerabilidad en el software CRUDDIY | CERT Polska

junio 26, 2024


ID CVE CVE-2024-4748
Fecha de publicación 24 de junio de 2024
Proveedor CRUDDIY
Producto CRUDDIY
Versiones vulnerables Todo hasta 202312.1
Tipo de vulnerabilidad (CWE) Neutralización inadecuada de elementos especiales utilizados en un comando («Inyección de comando») (CWE-77)
Fuente del informe Investigación propia

Descripción

Durante su propia investigación, CERT Polska ha encontrado una vulnerabilidad en CRUDDIY proyecto de código abierto y participó en la coordinación de su divulgación.

El software CRUDDIY es vulnerable a la inyección de comandos de shell mediante el envío de una solicitud POST diseñada al servidor de aplicaciones. El riesgo de explotación es limitado ya que CRUDDIY debe lanzarse localmente. Sin embargo, un usuario con el proyecto ejecutándose en su computadora podría visitar un sitio web que enviaría una solicitud maliciosa al servidor iniciado localmente.

La vulnerabilidad ha sido asignada. CVE-2024-4748. Los autores no lo abordaron como un problema importante y el proyecto no recibió un parche que lo solucione. La última versión probada fue la 202312.1, pero se cree que las más nuevas también son vulnerables.


Puede encontrar más información sobre el proceso coordinado de divulgación de vulnerabilidades en CERT Polska en https://cert.pl/en/cvd/.



Source link

Saber más  Revisión semanal del Centro Nacional de Seguridad Cibernética de Finlandia – 07/2024
Translate »