Vulnerabilidad en CasaOS-UserService (CVE-2024-24765)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
06/03/2024
Última modificación:
26/02/2025
Descripción
CasaOS-UserService proporciona funcionalidades de gestión de usuarios a CasaOS. Antes de la versión 0.4.7, el filtrado de rutas de la URL para los archivos de imágenes de avatar de usuario no era estricto, lo que hacía posible obtener cualquier archivo en el sistema. Esto podría permitir que un actor no autorizado acceda, por ejemplo, a la base de datos de usuarios de CasaOS y posiblemente obtenga privilegios de raíz del sistema. La versión 0.4.7 soluciona este problema.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:icewhale:casaos:*:*:*:*:*:*:*:* | 0.4.7 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/IceWhaleTech/CasaOS-UserService/commit/3f4558e23c0a9958f9a0e20aabc64aa8fd51840e
- https://github.com/IceWhaleTech/CasaOS-UserService/releases/tag/v0.4.7
- https://github.com/IceWhaleTech/CasaOS-UserService/security/advisories/GHSA-h5gf-cmm8-cg7c
- https://github.com/IceWhaleTech/CasaOS-UserService/commit/3f4558e23c0a9958f9a0e20aabc64aa8fd51840e
- https://github.com/IceWhaleTech/CasaOS-UserService/releases/tag/v0.4.7
- https://github.com/IceWhaleTech/CasaOS-UserService/security/advisories/GHSA-h5gf-cmm8-cg7c