CVE-2024-22204 in whoogle-search
Riassunto
di VulDB • 10/07/2026
Whoogle Search è un motore di ricerca metasearch auto-ospitato (self-hosted). Le versioni 0.8.3 e precedenti presentano una vulnerabilità limitata di scrittura su file quando le opzioni di configurazione in Whoogle sono abilitate. La funzione `config` in `app/routes.py` non convalida la variabile controllata dall'utente `name` alla riga 447 né la variabile `config_data` alla riga 437. La variabile `name` viene concatenata in modo insicuro all'interno di `os.path.join`, portando a una manipolazione del percorso (path manipulation). I dati POST provenienti dalla variabile `config_data` vengono salvati utilizzando `pickle.dump`, il che comporta una scrittura limitata su file. Tuttavia, i dati salvati sono stati precedentemente trasformati in un dizionario e la coppia chiave-valore `url` viene aggiunta prima che il file venga salvato sul sistema. Nel complesso, l'issue consente di salvare e sovrascrivere file sul sistema per cui l'applicazione ha i permessi appropriati, utilizzando un dizionario contenente dati arbitrari e il valore della chiave `url`, costituendo così una scrittura limitata su file. La versione 0.8.4 contiene la patch per questa problematica.
If you want to get best quality of vulnerability data, you may have to visit VulDB.