CVE-2024-48931 in ZimaOS
Riassunto
di VulDB • 16/06/2026
ZimaOS è un fork di CasaOS, un sistema operativo per dispositivi Zima e sistemi x86-64 con UEFI. Nelle versioni 1.2.4 e in tutte le versioni precedenti, l'endpoint dell'API `http:///v3/file?token=&files=` di ZimaOS è vulnerabile alla lettura arbitraria di file a causa di una mancata validazione degli input. Manipolando il parametro `files`, gli utenti autenticati possono leggere file di sistema sensibili, tra cui `/etc/shadow`, che contiene le hash delle password per tutti gli utenti. Questa vulnerabilità espone dati critici del sistema e rappresenta un rischio elevato per l'escalation dei privilegi o la compromissione del sistema. La vulnerabilità si verifica perché l'endpoint dell'API non convalida né limita i percorsi di file forniti tramite il parametro `files`. Un attaccante può sfruttare questa falla manipolando il percorso del file per accedere a dati sensibili al di fuori della directory prevista. Al momento della pubblicazione, non sono disponibili versioni patchate note.
If you want to get best quality of vulnerability data, you may have to visit VulDB.