Vulnerabilidad en el software CRUDDIY | CERT Polska
ID CVE | CVE-2024-4748 |
Fecha de publicación | 24 de junio de 2024 |
Proveedor | CRUDDIY |
Producto | CRUDDIY |
Versiones vulnerables | Todo hasta 202312.1 |
Tipo de vulnerabilidad (CWE) | Neutralización inadecuada de elementos especiales utilizados en un comando («Inyección de comando») (CWE-77) |
Fuente del informe | Investigación propia |
Descripción
Durante su propia investigación, CERT Polska ha encontrado una vulnerabilidad en CRUDDIY proyecto de código abierto y participó en la coordinación de su divulgación.
El software CRUDDIY es vulnerable a la inyección de comandos de shell mediante el envío de una solicitud POST diseñada al servidor de aplicaciones. El riesgo de explotación es limitado ya que CRUDDIY debe lanzarse localmente. Sin embargo, un usuario con el proyecto ejecutándose en su computadora podría visitar un sitio web que enviaría una solicitud maliciosa al servidor iniciado localmente.
La vulnerabilidad ha sido asignada. CVE-2024-4748. Los autores no lo abordaron como un problema importante y el proyecto no recibió un parche que lo solucione. La última versión probada fue la 202312.1, pero se cree que las más nuevas también son vulnerables.
Puede encontrar más información sobre el proceso coordinado de divulgación de vulnerabilidades en CERT Polska en https://cert.pl/en/cvd/.