Vulnerabilidad en CasaOS-UserService (CVE-2024-24766)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
06/03/2024
Última modificación:
28/05/2025
Descripción
CasaOS-UserService proporciona funcionalidades de gestión de usuarios a CasaOS. A partir de la versión 0.4.4.3 y antes de la versión 0.4.7, la página de inicio de sesión de Casa OS reveló la vulnerabilidad de enumeración de nombres de usuario en la página de inicio de sesión. Un atacante puede enumerar el nombre de usuario de CasaOS utilizando la respuesta de la aplicación. Si el nombre de usuario es incorrecto, la aplicación muestra el error `**El usuario no existe**`. Si la contraseña es incorrecta, la aplicación muestra el error `**Contraseña no válida**`. La versión 0.4.7 soluciona este problema.
Impacto
Puntuación base 3.x
6.20
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:icewhale:casaos-userservice:*:*:*:*:*:*:*:* | 0.4.4-3 (incluyendo) | 0.4.7 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/IceWhaleTech/CasaOS-UserService/commit/c75063d7ca5800948e9c09c0a6efe9809b5d39f7
- https://github.com/IceWhaleTech/CasaOS-UserService/releases/tag/v0.4.7
- https://github.com/IceWhaleTech/CasaOS-UserService/security/advisories/GHSA-c967-2652-gfjm
- https://github.com/IceWhaleTech/CasaOS-UserService/commit/c75063d7ca5800948e9c09c0a6efe9809b5d39f7
- https://github.com/IceWhaleTech/CasaOS-UserService/releases/tag/v0.4.7
- https://github.com/IceWhaleTech/CasaOS-UserService/security/advisories/GHSA-c967-2652-gfjm
- https://github.com/IceWhaleTech/CasaOS-UserService/security/advisories/GHSA-hcw2-2r9c-gc6p