CVE-2024-48931 in ZimaOSИнформация

Сводка

по VulDB • 16.06.2026

ZimaOS — это форк CasaOS, операционной системы для устройств Zima и систем x86-64 с UEFI. В версии 1.2.4 и во всех предыдущих версиях конечная точка API `http:///v3/file?token=&files=` уязвима к произвольному чтению файлов из-за недостаточной проверки входных данных. Манипулируя параметром `files`, аутентифицированные пользователи могут читать конфиденциальные системные файлы, включая `/etc/shadow`, содержащий хеши паролей всех пользователей. Эта уязвимость приводит к раскрытию критически важных системных данных и создает высокий риск повышения привилегий или компрометации системы. Уязвимость возникает из-за того, что конечная точка API не проверяет и не ограничивает пути к файлам, предоставляемые через параметр `files`. Атакующий может эксплуатировать эту уязвимость, манипулируя путем к файлу для доступа к конфиденциальным файлам за пределами предполагаемой директории. На момент публикации известные исправленные версии отсутствуют.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Ответственный

GitHub M

Резервировать

10.10.2024

Раскрытие

25.10.2024

Модерация

принято

Вход

VDB-281781

EPSS

0.00702

KEV

Нет

Деятельности

Очень низкий

Источники

Want to know what is going to be exploited?

We predict KEV entries!