Vulnerabilidad en Pterodactyl Wings (CVE-2024-34068)
Severidad:
MEDIA
Type:
CWE-284
Control de acceso incorrecto
Fecha de publicación:
03/05/2024
Última modificación:
06/05/2024
Descripción
Pterodactyl Wings es el plano de control del servidor para Pterodactyl Panel. Un usuario autenticado que tiene acceso a un servidor de juegos puede eludir el control de acceso implementado previamente (GHSA-6rg3-8h8x-5xfv) que impide el acceso a los endpoints internos del nodo que aloja Wings en el endpoint de extracción. Esto permitiría a usuarios malintencionados acceder potencialmente a recursos en redes locales que de otro modo serían inaccesibles. Este problema se solucionó en la versión 1.11.2 y se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar pueden habilitar la opción `api.disable_remote_download` como workaround.
Impacto
Puntuación base 3.x
6.40
Severidad 3.x
MEDIA