Vulnerabilidad en SFTPGo (CVE-2024-52309)
Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
21/11/2024
Última modificación:
21/11/2024
Descripción
SFTPGo es un servidor SFTP, HTTP/S, FTP/S y WebDAV con todas las funciones y altamente configurable: S3, Google Cloud Storage, Azure Blob. Una característica poderosa de SFTPGo es la capacidad de hacer que EventManager ejecute scripts o ejecute aplicaciones en respuesta a ciertos eventos. Esta característica es muy común en todo el software similar a SFTPGo y generalmente no tiene restricciones. Sin embargo, cualquier administrador de SFTPGo con permiso para ejecutar un script tiene acceso al sistema operativo/contenedor subyacente con los mismos permisos que el usuario que ejecuta SFTPGo. Esto es inesperado para algunos administradores de SFTPGo que piensan que existe una distinción clara entre acceder al shell del sistema y acceder a la interfaz de usuario de WebAdmin de SFTPGo. Para evitar esta confusión, la ejecución de comandos del sistema está deshabilitada de forma predeterminada en 2.6.3 y se agregó una lista de permitidos para que los administradores del sistema que configuren SFTPGo deban definir explícitamente qué comandos se pueden configurar desde la interfaz de usuario de WebAdmin.
Impacto
Puntuación base 4.0
5.10
Gravedad 4.0
MEDIA