Vulnerabilidad en PsiTransfer (CVE-2024-31453)

PsiTransfer es una solución para compartir archivos autohospedada y de código abierto. Antes de la versión 2.2.0, la ausencia de restricciones en el endpoint, que permitía a los usuarios crear una ruta para cargar un archivo en una distribución de archivos, permitía a un atacante agregar archivos arbitrarios a la distribución. La vulnerabilidad permite a un atacante influir en los usuarios que llegan después de ellos a la distribución de archivos y deslizar los archivos de la víctima con una firma maliciosa o de phishing. La versión 2.2.0 contiene un parche para el problema. CVE-2024-31453 permite a los usuarios violar la integridad de un depósito de archivos y cargar nuevos archivos allí, mientras que la vulnerabilidad con el número CVE-2024-31454 permite a los usuarios violar la integridad de un solo archivo cargado por otro usuario escribiendo datos allí y no le permite cargar nuevos archivos al depósito. Por lo tanto, las vulnerabilidades se reproducen de manera diferente, requieren diferentes recomendaciones de seguridad y afectan a diferentes objetos de la lógica empresarial de la aplicación.