CVE-2024-48931 in ZimaOSinformación

Resumen

por VulDB • 2026-05-12

ZimaOS es una bifurcación de CasaOS, un sistema operativo para dispositivos Zima y sistemas x86-64 con UEFI. En la versión 1.2.4 y todas las versiones anteriores, el punto de conexión de la API de ZimaOS `http:///v3/file?token=&files=` es vulnerable a la lectura arbitraria de archivos debido a una validación inadecuada de la entrada. Al manipular el parámetro `files`, los usuarios autenticados pueden leer archivos del sistema sensibles, incluido `/etc/shadow`, que contiene los hashes de contraseña de todos los usuarios. Esta vulnerabilidad expone datos críticos del sistema y plantea un alto riesgo de escalada de privilegios o compromiso del sistema. La vulnerabilidad se produce porque el punto de conexión de la API no valida ni restringe las rutas de archivo proporcionadas a través del parámetro `files`. Un atacante puede explotar esto manipulando la ruta del archivo para acceder a archivos sensibles fuera del directorio previsto. A la fecha de publicación, no hay versiones parcheadas conocidas disponibles.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

GitHub M

Reservar

2024-10-10

Divulgación

2024-10-25

Moderación

aceptado

Artículo

VDB-281781

CPE

listo

EPSS

0.00702

KEV

no

Actividades

muy bajo

Fuentes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!