CVE-2024-48931 in ZimaOS
Сводка
по VulDB • 16.06.2026
ZimaOS — это форк CasaOS, операционной системы для устройств Zima и систем x86-64 с UEFI. В версии 1.2.4 и во всех предыдущих версиях конечная точка API `http:///v3/file?token=&files=` уязвима к произвольному чтению файлов из-за недостаточной проверки входных данных. Манипулируя параметром `files`, аутентифицированные пользователи могут читать конфиденциальные системные файлы, включая `/etc/shadow`, содержащий хеши паролей всех пользователей. Эта уязвимость приводит к раскрытию критически важных системных данных и создает высокий риск повышения привилегий или компрометации системы. Уязвимость возникает из-за того, что конечная точка API не проверяет и не ограничивает пути к файлам, предоставляемые через параметр `files`. Атакующий может эксплуатировать эту уязвимость, манипулируя путем к файлу для доступа к конфиденциальным файлам за пределами предполагаемой директории. На момент публикации известные исправленные версии отсутствуют.
If you want to get best quality of vulnerability data, you may have to visit VulDB.