Vulnerabilidad en Whoogle Search (CVE-2024-22417)

Whoogle Search es un metabuscador autohospedado. En las versiones 0.8.3 y anteriores, el método `element` en `app/routes.py` no valida las variables `src_type` y `element_url` controladas por el usuario y las pasa al método `send` que envía un `GET `solicitud en las líneas 339-343 en `requests.py`. El contenido devuelto de la URL luego se pasa y se refleja al usuario en la función `send_file` en la línea 484, junto con el `src_type` controlado por el usuario, que permite al atacante controlar el tipo de contenido de la respuesta HTTP que conduce a una vulnerabilidad de cross-site scripting. Un atacante podría crear una URL especial para apuntar a un sitio web malicioso y enviar el enlace a una víctima. El hecho de que el enlace contenga un dominio confiable (por ejemplo, de una de las instancias públicas de Whoogle) podría usarse para engañar al usuario para que haga clic en el enlace. El sitio web malicioso podría, por ejemplo, ser una copia de un sitio web real, destinado a robar. las credenciales de una persona para el sitio web, o engañar a esa persona de otra manera. La versión 0.8.4 contiene un parche para este problema.