Vulnerabilidad en PsiTransfer (CVE-2024-31454)

PsiTransfer es una solución para compartir archivos autohospedada y de código abierto. Antes de la versión 2.2.0, la ausencia de restricciones en el endpoint, que está manipulado para cargar archivos, permitía a un atacante que recibía la identificación de una distribución de archivos cambiar los archivos que se encuentran en esta distribución. La vulnerabilidad permite a un atacante influir en los usuarios que llegan después de ellos a la distribución de archivos y deslizar los archivos de la víctima con una firma maliciosa o de phishing. La versión 2.2.0 contiene un parche para este problema. CVE-2024-31454 permite a los usuarios violar la integridad de un archivo subido por otro usuario. En este caso, los archivos adicionales no se cargan en el depósito de archivos. Violación de la integridad a nivel de archivos individuales. Mientras que la vulnerabilidad con el número CVE-2024-31453 permite a los usuarios violar la integridad de un depósito de archivos sin violar la integridad de los archivos cargados por otros usuarios. Por lo tanto, las vulnerabilidades se reproducen de manera diferente, requieren diferentes recomendaciones de seguridad y afectan a diferentes objetos de la lógica empresarial de la aplicación.