CVE-2024-48931 in ZimaOS情報

要約

〜によって VulDB • 2026年06月22日

ZimaOSは、UEFI対応のx86-64システムおよびZimaデバイス向けのオペレーティングシステムであるCasaOSをフォークしたものです。バージョン1.2.4およびそれ以前のすべてのバージョンにおいて、ZimaOS APIエンドポイント `http:///v3/file?token=&files=` は不適切な入力検証により任意ファイル読み取りの脆弱性があります。`files` パラメータを操作することで、認証済みユーザーは `/etc/shadow`(全ユーザのパスワードハッシュを含む)など機密性の高いシステムファイルを参照できます。この脆弱性は重要なシステムデータを暴露し、権限昇格やシステムの侵害に対して大きなリスクをもたらします。この脆弱性は、APIエンドポイントが `files` パラメータ経由で提供されるファイルパスを検証または制限しないために発生します。攻撃者はファイルパスを操作して意図されたディレクトリ外の機密ファイルにアクセスすることでこれを悪用できます。公開時点では既知のパッチ済みバージョンはありません。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

責任者

GitHub M

予約する

2024年10月10日

モデレーション

承諾済み

エントリ

VDB-281781

EPSS

0.00702

アクティビティ

非常低い

ソース

Interested in the pricing of exploits?

See the underground prices here!