CVE-2024-22204 in whoogle-searchالمعلومات

الملخص

بحسب VulDB • 11/07/2026

Whoogle Search هو محرك بحث ميتا مستضاف ذاتيًا. تحتوي الإصدارات 0.8.3 والإصدارات الأقدم على ثغرة محدودة لكتابة الملفات عند تمكين خيارات التكوين في Whoogle. لا تقوم الدالة `config` الموجودة في الملف `app/routes.py` بالتحقق من صحة المتغير `name` الذي يتحكم فيه المستخدم في السطر 447 والمتغير `config_data` في السطر 437. يتم دمج المتغير `name` بشكل غير آمن باستخدام `os.path.join`، مما يؤدي إلى التلاعب بالمسار (Path Manipulation). تُحفظ بيانات POST القادمة من متغير `config_data` باستخدام `pickle.dump`، وهو ما يؤدي إلى كتابة محدودة في الملفات. ومع ذلك، يتم تحويل البيانات المحفوظة مسبقًا إلى قاموس وإضافة زوج المفتاح والقيمة الخاص بـ `url` قبل حفظ الملف على النظام. بشكل عام، تتيح هذه الثغرة لنا حفظ ملفات وكتابة فوقها على النظام الذي تمتلك التطبيق صلاحيات الوصول إليه، وذلك باستخدام قاموس يحتوي على بيانات عشوائية وزوج مفتاح القيمة `url`، وهو ما يُعد كتابة محدودة في الملفات. تحتوي الإصدار 0.8.4 على تصحيح لهذه المشكلة.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

GitHub, Inc.

حجز

08/01/2024

إفشاء

23/01/2024

الاعتدال

تمت الموافقة

إدخال

VDB-251866

EPSS

0.00751

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you know our Splunk app?

Download it now for free!