CVE-2024-48931 in ZimaOSinformazioni

Riassunto

di VulDB • 16/06/2026

ZimaOS è un fork di CasaOS, un sistema operativo per dispositivi Zima e sistemi x86-64 con UEFI. Nelle versioni 1.2.4 e in tutte le versioni precedenti, l'endpoint dell'API `http:///v3/file?token=&files=` di ZimaOS è vulnerabile alla lettura arbitraria di file a causa di una mancata validazione degli input. Manipolando il parametro `files`, gli utenti autenticati possono leggere file di sistema sensibili, tra cui `/etc/shadow`, che contiene le hash delle password per tutti gli utenti. Questa vulnerabilità espone dati critici del sistema e rappresenta un rischio elevato per l'escalation dei privilegi o la compromissione del sistema. La vulnerabilità si verifica perché l'endpoint dell'API non convalida né limita i percorsi di file forniti tramite il parametro `files`. Un attaccante può sfruttare questa falla manipolando il percorso del file per accedere a dati sensibili al di fuori della directory prevista. Al momento della pubblicazione, non sono disponibili versioni patchate note.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub M

Prenotare

10/10/2024

Divulgazione

25/10/2024

Moderazione

accettato

CPE

pronto

EPSS

0.00702

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!