CVE-2024-22204 in whoogle-searchinfo

Zusammenfassung

von VulDB • 10.07.2026

Whoogle Search ist eine selbst gehostete Metasuchmaschine. Die Versionen 0.8.3 und älter weisen eine eingeschränkte Schwachstelle für das Schreiben von Dateien auf, wenn die Konfigurationsoptionen in Whoogle aktiviert sind. Die Funktion `config` in `app/routes.py` validiert nicht die benutzerkontrollierte Variable `name` in Zeile 447 sowie die Variable `config_data` in Zeile 437. Die Variable `name` wird unsicher mit `os.path.join` verkettet, was zu einer Pfadmanipulation führt. Die POST-Daten aus der Variablen `config_data` werden mit `pickle.dump` gespeichert, was zu einem eingeschränkten Dateischreiben führt. Allerdings werden die gespeicherten Daten zuvor in ein Dictionary umgewandelt und das Schlüssel-Wert-Paar `url` wird hinzugefügt, bevor die Datei auf dem System gespeichert wird. Insgesamt ermöglicht es dieses Problem, Dateien im System, für die die Anwendung Berechtigungen hat, zu speichern und zu überschreiben, wobei ein Dictionary mit beliebigen Daten sowie dem Schlüssel-Wert-Paar `url` verwendet wird, was als eingeschränktes Dateischreiben gilt. Die Version 0.8.4 enthält einen Patch für dieses Problem.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Zuständig

GitHub, Inc.

Reservieren

08.01.2024

Veröffentlichung

23.01.2024

Moderieren

akzeptiert

Eintrag

VDB-251866

CPE

bereit

EPSS

0.00751

KEV

nein

Aktivitäten

very low

Quellen

Do you need the next level of professionalism?

Upgrade your account now!