Vulnerabilidad en Pterodactyl Wings (CVE-2024-34068)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-284
Control de acceso incorrecto
Fecha de publicación:
03/05/2024
Última modificación:
21/02/2025
Descripción
Pterodactyl Wings es el plano de control del servidor para Pterodactyl Panel. Un usuario autenticado que tiene acceso a un servidor de juegos puede eludir el control de acceso implementado previamente (GHSA-6rg3-8h8x-5xfv) que impide el acceso a los endpoints internos del nodo que aloja Wings en el endpoint de extracción. Esto permitiría a usuarios malintencionados acceder potencialmente a recursos en redes locales que de otro modo serían inaccesibles. Este problema se solucionó en la versión 1.11.2 y se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar pueden habilitar la opción `api.disable_remote_download` como workaround.
Impacto
Puntuación base 3.x
6.40
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:pterodactyl:wings:*:*:*:*:*:*:*:* | 1.11.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/pterodactyl/wings/commit/c152e36101aba45d8868a9a0eeb890995e8934b8
- https://github.com/pterodactyl/wings/security/advisories/GHSA-6rg3-8h8x-5xfv
- https://github.com/pterodactyl/wings/security/advisories/GHSA-qq22-jj8x-4wwv
- https://github.com/pterodactyl/wings/commit/c152e36101aba45d8868a9a0eeb890995e8934b8
- https://github.com/pterodactyl/wings/security/advisories/GHSA-6rg3-8h8x-5xfv
- https://github.com/pterodactyl/wings/security/advisories/GHSA-qq22-jj8x-4wwv