Vulnerabilidad en Pterodactyl (CVE-2024-34067)

Pterodactyl es un panel de administración de servidor de juegos gratuito y de código abierto creado con PHP, React y Go. Importar un huevo malicioso u obtener acceso a la instancia de Wings podría generar cross-site scripting (XSS) en el panel, que podrían usarse para obtener una cuenta de administrador en el panel. Específicamente, las siguientes cosas se ven afectadas: imágenes de Egg Docker y variables de Egg: nombre, variable de entorno, valor predeterminado, descripción, reglas de validación. Además, ciertos campos reflejarían entradas maliciosas, pero requerirían que el usuario ingresara dicha entrada a sabiendas para tener un impacto. Para iterar, esto requeriría que un administrador realizara acciones y no puede ser activado por un usuario normal del panel. Este problema se solucionó en la versión 1.11.6 y se recomienda a los usuarios que actualicen. No hay otro workaround disponible que no sea actualizar a la última versión del panel.