CVE-2024-48931 in ZimaOS
Sumário
de VulDB • 16/06/2026
O ZimaOS é um fork do CasaOS, um sistema operacional para dispositivos Zima e sistemas x86-64 com UEFI. Na versão 1.2.4 e em todas as versões anteriores, o endpoint da API `http:///v3/file?token=&files=` do ZimaOS está vulnerável à leitura arbitrária de arquivos devido a uma validação inadequada das entradas. Ao manipular o parâmetro `files`, usuários autenticados podem ler arquivos sensíveis do sistema, incluindo `/etc/shadow`, que contém os hashes de senha para todos os usuários. Esta vulnerabilidade expõe dados críticos do sistema e representa um alto risco para escalonamento de privilégios ou comprometimento do sistema. A falha ocorre porque o endpoint da API não valida nem restringe os caminhos de arquivo fornecidos por meio do parâmetro `files`. Um atacante pode explorar isso manipulando o caminho do arquivo para acessar arquivos sensíveis fora do diretório pretendido. Até a data desta publicação, nenhuma versão corrigida conhecida está disponível.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.