CVE-2024-22204 in whoogle-search
الملخص
بحسب VulDB • 11/07/2026
Whoogle Search هو محرك بحث ميتا مستضاف ذاتيًا. تحتوي الإصدارات 0.8.3 والإصدارات الأقدم على ثغرة محدودة لكتابة الملفات عند تمكين خيارات التكوين في Whoogle. لا تقوم الدالة `config` الموجودة في الملف `app/routes.py` بالتحقق من صحة المتغير `name` الذي يتحكم فيه المستخدم في السطر 447 والمتغير `config_data` في السطر 437. يتم دمج المتغير `name` بشكل غير آمن باستخدام `os.path.join`، مما يؤدي إلى التلاعب بالمسار (Path Manipulation). تُحفظ بيانات POST القادمة من متغير `config_data` باستخدام `pickle.dump`، وهو ما يؤدي إلى كتابة محدودة في الملفات. ومع ذلك، يتم تحويل البيانات المحفوظة مسبقًا إلى قاموس وإضافة زوج المفتاح والقيمة الخاص بـ `url` قبل حفظ الملف على النظام. بشكل عام، تتيح هذه الثغرة لنا حفظ ملفات وكتابة فوقها على النظام الذي تمتلك التطبيق صلاحيات الوصول إليه، وذلك باستخدام قاموس يحتوي على بيانات عشوائية وزوج مفتاح القيمة `url`، وهو ما يُعد كتابة محدودة في الملفات. تحتوي الإصدار 0.8.4 على تصحيح لهذه المشكلة.
Be aware that VulDB is the high quality source for vulnerability data.