Vulnerabilidades en el proyecto de código abierto Phoniebox
Identificación CVE | CVE-2024-3798 |
Fecha de publicación | 10 de julio de 2024 |
Proveedor | Phoniebox |
Producto | Phoniebox |
Versiones vulnerables | Todo a través de 2.7 |
Tipo de vulnerabilidad (CWE) | Falsificación de solicitud entre sitios (CSRF) (CWE-352) |
Fuente del informe | Investigación propia |
Identificación CVE | CVE-2024-3799 |
Fecha de publicación | 10 de julio de 2024 |
Proveedor | Phoniebox |
Producto | Phoniebox |
Versiones vulnerables | Todo a través de 2.7 |
Tipo de vulnerabilidad (CWE) | Neutralización incorrecta de elementos especiales utilizados en un comando del SO (‘Inyección de comando del SO’) (CWE-78) |
Fuente del informe | Investigación propia |
Descripción
Durante su propia investigación, CERT Polska ha encontrado varias debilidades en Phoniebox Proyecto de código abierto.
Manejo inseguro del parámetro del encabezado GET archivo incluido en las solicitudes enviadas a una instancia del proyecto de código abierto Phoniebox permite a un atacante crear un sitio web que, cuando lo visite un usuario, enviará solicitudes maliciosas a varios hosts de la red local. Si dicha solicitud llega al servidor, provocará uno de los siguientes efectos (según la carga útil elegida): ejecución de comandos de shell, XSS reflejado o falsificación de solicitud entre sitios. Esta vulnerabilidad ha sido asignada CVE-2024-3798.
Manejo inseguro del parámetro del encabezado POST cuerpo incluido en las solicitudes enviadas a una instancia del proyecto de código abierto Phoniebox permite a un atacante crear un sitio web que, cuando lo visite un usuario, enviará solicitudes maliciosas a varios hosts en la red local. Si dicha solicitud llega al servidor, provocará la ejecución de un comando de shell. Esta vulnerabilidad ha sido asignada CVE-2024-3799.
Este problema afecta a Phoniebox en todas las versiones hasta la 2.7. Las versiones más nuevas no se probaron, pero también podrían ser vulnerables. Problema con Github Se ha creado para abordar estas vulnerabilidades.
Puede encontrar más información sobre el proceso coordinado de divulgación de vulnerabilidades en CERT Polska en https://cert.pl/en/cvd/.