Vulnerabilidad en Pterodactyl (CVE-2024-34067)
Severidad:
MEDIA
Type:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
03/05/2024
Última modificación:
06/05/2024
Descripción
Pterodactyl es un panel de administración de servidor de juegos gratuito y de código abierto creado con PHP, React y Go. Importar un huevo malicioso u obtener acceso a la instancia de Wings podría generar cross-site scripting (XSS) en el panel, que podrían usarse para obtener una cuenta de administrador en el panel. Específicamente, las siguientes cosas se ven afectadas: imágenes de Egg Docker y variables de Egg: nombre, variable de entorno, valor predeterminado, descripción, reglas de validación. Además, ciertos campos reflejarían entradas maliciosas, pero requerirían que el usuario ingresara dicha entrada a sabiendas para tener un impacto. Para iterar, esto requeriría que un administrador realizara acciones y no puede ser activado por un usuario normal del panel. Este problema se solucionó en la versión 1.11.6 y se recomienda a los usuarios que actualicen. No hay otro workaround disponible que no sea actualizar a la última versión del panel.
Impacto
Puntuación base 3.x
6.10
Severidad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://github.com/pterodactyl/panel/commit/0dad4c5a488661f9adc27dd311542516d9bfa0f2
- https://github.com/pterodactyl/panel/commit/1172d71d31561c4e465dabdf6b838e64de48ad16
- https://github.com/pterodactyl/panel/commit/f671046947e4695b5e1c647df79305c1cefdf817
- https://github.com/pterodactyl/panel/security/advisories/GHSA-384w-wffr-x63q