Vulnerabilidad en gin-vue-admin (CVE-2024-31457)

gin-vue-admin es un sistema de gestión backstage basado en vue y gin, que separa la parte delantera y trasera de la pila completa. La pseudoversión 0.0.0-20240407133540-7bc7c3051067 de gin-vue-admin, correspondiente a la versión 2.6.1, tiene una vulnerabilidad de inyección de código en el backend. En la función Sistema de complementos -> Plantilla de complemento, un atacante puede realizar un directory traversal manipulando el parámetro `plugName`. Pueden crear carpetas específicas como `api`, `config`, `global`, `model`, `router`, `service` y la función `main.go` dentro de directory traversal especificado. Además, los archivos Go dentro de estas carpetas pueden tener código arbitrario insertado en función de un parámetro PoC específico. La razón principal de la existencia de esta vulnerabilidad es la controlabilidad del campo PlugName dentro de la estructura. La pseudoversión 0.0.0-20240409100909-b1b7427c6ea6, correspondiente a el commit b1b7427c6ea6c7a027fa188c6be557f3795e732b, contiene un parche para el problema. Como workaround, se puede utilizar manualmente un método de filtrado disponible en el aviso de seguridad de GitHub para rectificar el problema de directory traversal.