Skip to main content

Vulnerabilidades en el proyecto de código abierto Phoniebox

julio 12, 2024


Identificación CVE CVE-2024-3798
Fecha de publicación 10 de julio de 2024
Proveedor Phoniebox
Producto Phoniebox
Versiones vulnerables Todo a través de 2.7
Tipo de vulnerabilidad (CWE) Falsificación de solicitud entre sitios (CSRF) (CWE-352)
Fuente del informe Investigación propia
Identificación CVE CVE-2024-3799
Fecha de publicación 10 de julio de 2024
Proveedor Phoniebox
Producto Phoniebox
Versiones vulnerables Todo a través de 2.7
Tipo de vulnerabilidad (CWE) Neutralización incorrecta de elementos especiales utilizados en un comando del SO (‘Inyección de comando del SO’) (CWE-78)
Fuente del informe Investigación propia

Descripción

Durante su propia investigación, CERT Polska ha encontrado varias debilidades en Phoniebox Proyecto de código abierto.

Manejo inseguro del parámetro del encabezado GET archivo incluido en las solicitudes enviadas a una instancia del proyecto de código abierto Phoniebox permite a un atacante crear un sitio web que, cuando lo visite un usuario, enviará solicitudes maliciosas a varios hosts de la red local. Si dicha solicitud llega al servidor, provocará uno de los siguientes efectos (según la carga útil elegida): ejecución de comandos de shell, XSS reflejado o falsificación de solicitud entre sitios. Esta vulnerabilidad ha sido asignada CVE-2024-3798.

Manejo inseguro del parámetro del encabezado POST cuerpo incluido en las solicitudes enviadas a una instancia del proyecto de código abierto Phoniebox permite a un atacante crear un sitio web que, cuando lo visite un usuario, enviará solicitudes maliciosas a varios hosts en la red local. Si dicha solicitud llega al servidor, provocará la ejecución de un comando de shell. Esta vulnerabilidad ha sido asignada CVE-2024-3799.

Este problema afecta a Phoniebox en todas las versiones hasta la 2.7. Las versiones más nuevas no se probaron, pero también podrían ser vulnerables. Problema con Github Se ha creado para abordar estas vulnerabilidades.


Puede encontrar más información sobre el proceso coordinado de divulgación de vulnerabilidades en CERT Polska en https://cert.pl/en/cvd/.



Source link

Translate »