Vulnerabilidad en Phoniebox (CVE-2024-3798)

Gravedad:

Pendiente de análisis

Tipo:

CWE-352 Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)

Fecha de publicación:

10/07/2024

Última modificación:

12/07/2024

Descripción

El manejo inseguro del archivo de parámetros de encabezado GET&#xa0;incluido en las solicitudes que se envían a una instancia del&#xa0;proyecto de código abierto&#xa0;Phoniebox permite a un atacante crear un sitio web que, cuando lo visita un usuario, enviará solicitudes maliciosas a múltiples hosts en la red local. Si dicha solicitud llega al servidor, provocará una de las siguientes situaciones (según el payload elegido): ejecución de comandos de shell, XSS reflejado o cross-site request forgery. Este problema afecta a Phoniebox en todas las versiones hasta la 2.7. Las versiones más recientes no se probaron, pero también podrían ser vulnerables.

Impacto

Referencias a soluciones, herramientas e información

https://cert.pl/en/posts/2024/07/CVE-2024-3798
https://cert.pl/posts/2024/07/CVE-2024-3798
https://github.com/MiczFlor/RPi-Jukebox-RFID/issues/2342