Vulnerabilidad en WhoDB (CVE-2025-24786)

WhoDB es una herramienta de administración de bases de datos de código abierto. Si bien la aplicación solo muestra las bases de datos Sqlite3 presentes en el directorio `/db`, no hay ninguna prevención de path traversa implementada. Esto permite que un atacante no autenticado abra cualquier base de datos Sqlite3 presente en la máquina host en la que se ejecuta la aplicación. Las versiones afectadas de WhoDB permiten a los usuarios conectarse a bases de datos Sqlite3. De manera predeterminada, las bases de datos deben estar presentes en `/db/` (o alternativamente `./tmp/` si el modo de desarrollo está habilitado). Si no hay bases de datos presentes en el directorio predeterminado, la interfaz de usuario indica que el usuario no puede abrir ninguna base de datos. El archivo de base de datos es un valor controlado por el usuario. Este valor se utiliza en `.Join()` con el directorio predeterminado, para obtener la ruta completa del archivo de base de datos que se abrirá. No se realizan comprobaciones de si el archivo de base de datos que finalmente se abre reside realmente en el directorio predeterminado `/db`. Esto permite que un atacante utilice el path traversa (`../../`) para abrir cualquier base de datos SQLite3 presente en el sistema. Este problema se ha solucionado en la versión 0.45.0 y se recomienda a todos los usuarios que actualicen la versión. No se conocen workarounds para esta vulnerabilidad.