Vulnerabilidad en Nuclei (CVE-2023-37896)

"Nuclei es un escáner de vulnerabilidades. Antes de la versión 2.9.9, un problema de seguridad en el proyecto Nuclei afectaba a los usuarios que utilizaban Nuclei como código Go (SDK) ejecutando plantillas personalizadas. Este problema no afectaba a los usuarios de CLI. El problema estaba relacionado con problemas de sanitización con la carga de payload en modo sandbox. Existía un riesgo potencial con la carga de payloads en modo sandbox. El problema se debía a que las rutas relativas no se convertían en rutas absolutas antes de realizar la comprobación del indicador `sandbox`, lo que permitía la lectura de archivos arbitrarios en el sistema de archivos en determinados casos cuando se utilizaba la implementación del SDK Nuclei from `Go`. <br /> <br /> Este problema se ha solucionado en la versión 2.9.9. Los mantenedores también han habilitado sandbox por defecto para la carga del sistema de archivos. Esto se puede desactivar opcionalmente si es necesario. La opción `-sandbox` ha quedado obsoleta y ahora se divide en dos nuevas opciones: `-lfa` (permitir el acceso local a ficheros) que está activada por defecto y `-lna` (restringir el acceso local a la red) que puede ser activada por los usuarios opcionalmente. El `-lfa` permite el acceso a archivos (payload) en cualquier parte del sistema (deshabilitando efectivamente el sandbox), y `-lna` bloquea las conexiones a la red local/privada."