Vulnerabilidad en Webhood (CVE-2024-31218)

Webhood es un escáner de URL autohospedado que se utiliza para analizar sitios maliciosos y de phishing. Las imágenes del contenedor backend de Webhood en las versiones 0.9.0 y anteriores están sujetas a una vulnerabilidad de autenticación faltante para funciones críticas. Esta vulnerabilidad permite que un atacante no autenticado envíe una solicitud HTTP a la API de administración de la base de datos (Pocketbase) para crear una cuenta de administrador. La API de administración de Pocketbase no verifica la autenticación/autorización al crear una cuenta de administrador cuando no se han agregado cuentas de administrador. En su implementación predeterminada, Webhood no crea una cuenta de administrador de base de datos. Por lo tanto, a menos que los usuarios hayan creado manualmente una cuenta de administrador en la base de datos, no existirá una cuenta de administrador en la implementación y la implementación es vulnerable. Las versiones a partir de 0.9.1 están parcheadas. El parche crea una cuenta de administrador generada aleatoriamente si aún no se han creado cuentas de administrador, es decir, la vulnerabilidad se puede explotar en la implementación. Como workaround, los usuarios pueden deshabilitar completamente el acceso a la ruta URL que comienza con `/api/admins`. Con esta workaround, la vulnerabilidad no se puede explotar a través de la red.