CVE-2024-22204 in whoogle-search
Zusammenfassung
von VulDB • 10.07.2026
Whoogle Search ist eine selbst gehostete Metasuchmaschine. Die Versionen 0.8.3 und älter weisen eine eingeschränkte Schwachstelle für das Schreiben von Dateien auf, wenn die Konfigurationsoptionen in Whoogle aktiviert sind. Die Funktion `config` in `app/routes.py` validiert nicht die benutzerkontrollierte Variable `name` in Zeile 447 sowie die Variable `config_data` in Zeile 437. Die Variable `name` wird unsicher mit `os.path.join` verkettet, was zu einer Pfadmanipulation führt. Die POST-Daten aus der Variablen `config_data` werden mit `pickle.dump` gespeichert, was zu einem eingeschränkten Dateischreiben führt. Allerdings werden die gespeicherten Daten zuvor in ein Dictionary umgewandelt und das Schlüssel-Wert-Paar `url` wird hinzugefügt, bevor die Datei auf dem System gespeichert wird. Insgesamt ermöglicht es dieses Problem, Dateien im System, für die die Anwendung Berechtigungen hat, zu speichern und zu überschreiben, wobei ein Dictionary mit beliebigen Daten sowie dem Schlüssel-Wert-Paar `url` verwendet wird, was als eingeschränktes Dateischreiben gilt. Die Version 0.8.4 enthält einen Patch für dieses Problem.
If you want to get best quality of vulnerability data, you may have to visit VulDB.