Vulnerabilidad en gotortc (CVE-2024-29192)

gotortc es una aplicación de transmisión de cámara. Las versiones 1.8.5 y anteriores son vulnerables a la cross-site-request forgery. El endpoint `/api/config` permite modificar la configuración existente con valores proporcionados por el usuario. Si bien la API solo permite que localhost interactúe sin autenticación, un atacante puede lograrlo dependiendo de cómo esté configurado go2rtc en la aplicación ascendente y, dado que este endpoint no está protegido contra CSRF, permite solicitudes de cualquier origen ( por ejemplo, un ataque "desde un vehículo en movimiento"). El controlador `exec` permite que cualquier flujo ejecute comandos arbitrarios. Un atacante puede agregar una secuencia personalizada a través de `api/config`, lo que puede llevar a la ejecución de comandos arbitrarios. En caso de que una víctima visite el servidor en cuestión, su navegador ejecutará las solicitudes en la instancia de go2rtc. El commit 8793c3636493c5efdda08f3b5ed5c6e1ea594fd9 agrega una advertencia sobre el acceso seguro a la API.