Vulnerabilidad en Proxmox Virtual Environment (CVE-2024-21545)

Proxmox Virtual Environment es una plataforma de administración de servidores de código abierto para la virtualización empresarial. Las protecciones insuficientes contra valores de respuesta de API maliciosos permiten que atacantes autenticados con privilegios 'Sys.Audit' o 'VM.Monitor' descarguen archivos de host arbitrarios a través de la API. Al manejar el resultado de un controlador de solicitud antes de devolverlo al usuario, la función handle_api2_request verificará los objetos 'download' o 'data'->'download' dentro del objeto de respuesta de llamada del controlador de solicitud. Si está presente, handle_api2_request leerá un archivo local definido por este objeto y lo devolverá al usuario. Se identificaron dos endpoints que pueden controlar el objeto devuelto por un controlador de solicitud lo suficiente como para que el objeto 'download' esté definido y controlado por el usuario. Esto da como resultado la lectura de archivos arbitrarios. Los privilegios de esta lectura de archivos pueden provocar un compromiso total del sistema por varios impactos, como la divulgación de archivos confidenciales que permiten la falsificación de sesiones privilegiadas.