Drdark1999

Name of the Vulnerable Software and Affected Versions ZimaOS versões anteriores a 1.5.3 Description ZimaOS, um fork do CasaOS, possui uma falha onde o endpoint da API `/v1/sys/proxy`, exposto através de sua interface web, pode ser explorado para fazer requisições a serviços localhost internos. Isso permite acesso não autenticado a endpoints internos e serviços locais sensíveis quando o sistema é acessível pela internet via um Cloudflare Tunnel. O endpoint vulnerável é `/v1/sys/proxy`. Recommendations Atualize para a versão 1.5.3 ou posterior.

**Nome do software vulnerável e versões afetadas** ZimaOS versões 1.2.4 e anteriores **Descrição** A vulnerabilidade permite que usuários não autenticados acessem informações confidenciais, como nomes de usuário, por meio do endpoint da API `http://<Server-ip>/v1/users/name` sem qualquer autorização. Isso poderia ser explorado por um invasor para enumerar nomes de usuário e utilizá-los em ataques posteriores, como campanhas de força bruta ou phishing. **Recomendações** Para as versões 1.2.4 e anteriores do ZimaOS, como solução temporária, considere restringir o acesso ao endpoint da API `http://<Server-ip>/v1/users/name` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** ZimaOS versões 1.2.4 e anteriores **Descrição** O problema diz respeito à exposição de dados confidenciais por meio de pontos de extremidade da API, como `http://<Server-IP>/v1/users/image?path=/var/lib/casaos/1/app order.json` e `http://<Server-IP>/v1/users/image?path=/var/lib/casaos/1/system.json`, sem exigir autenticação ou autorização. Isso permite que invasores obtenham conhecimento detalhado sobre a configuração do sistema, aplicativos instalados e outras informações críticas. **Recomendações** Para as versões 1.2.4 e anteriores do ZimaOS, como solução temporária, considere restringir o acesso aos pontos de extremidade da API vulneráveis até que um patch esteja disponível. Evite usar esses pontos de extremidade para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** ZimaOS versões 1.2.4 e anteriores **Descrição** O problema diz respeito ao endpoint da API `http://<Server-IP>/v1/users/login`, que retorna respostas distintas dependendo da existência do nome de usuário ou da incorreção da senha. Esse comportamento pode ser explorado para enumeração de nomes de usuário, permitindo que invasores determinem se um usuário existe no sistema ou não. Os invasores podem aproveitar essas informações em ataques posteriores, como preenchimento de credenciais ou força-bruta direcionada de senhas. **Recomendações** Para as versões 1.2.4 e anteriores do ZimaOS, como solução temporária, considere restringir o acesso ao endpoint da API `http://<Server-IP>/v1/users/login` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 1.2.4 e anteriores do ZimaOS **Descrição** A vulnerabilidade permite que usuários autenticados realizem um ataque de traversal de diretório por meio do endpoint da API `http://<Zima Server IP:PORT>/v2 1/file`, possibilitando o acesso a diretórios confidenciais do sistema, como `/etc`. Isso pode expor arquivos de configuração críticos e aumentar o risco de novos ataques. **Recomendações** Para as versões 1.2.4 e anteriores do ZimaOS, como solução temporária, considere restringir o acesso ao endpoint da API `http://<Zima Server IP:PORT>/v2 1/file` até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 1.2.4 e anteriores do ZimaOS **Descrição** O problema diz respeito à validação inadequada de entradas no endpoint da API do ZimaOS `http://<Zima Server IP:PORT>/v3/file?token=<token>&files=<file path>`, permitindo que usuários autenticados leiam arquivos confidenciais do sistema ao manipular o parâmetro `files`. Isso expõe dados críticos do sistema, incluindo hashes de senhas em `/etc/shadow`, representando um alto risco de escalonamento de privilégios ou comprometimento do sistema. A vulnerabilidade decorre da falta de validação ou restrição nos caminhos de arquivo fornecidos por meio do parâmetro `files`, permitindo que invasores acessem arquivos confidenciais fora do diretório pretendido. **Recomendações** Para as versões 1.2.4 e anteriores do ZimaOS, como solução temporária, considere restringir o acesso ao endpoint da API `http://<Zima Server IP:PORT>/v3/file` até que um patch esteja disponível. Evite usar o parâmetro `files` neste endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do CasaOS anteriores à 0.4.7 **Descrição** A página de login do CasaOS apresenta uma vulnerabilidade que permite a enumeração de nomes de usuário. Um invasor pode enumerar nomes de usuário observando a resposta do aplicativo. Se o nome de usuário estiver incorreto, o aplicativo retorna “Usuário não existe” com o código de retorno “10006”, enquanto que, se a senha estiver incorreta, ele retorna “Usuário não existe ou senha inválida” com o código de retorno “10013”. Isso permite que um invasor determine se um nome de usuário existe sem saber a senha. **Recomendações** Para versões anteriores à 0.4.7, atualize para a versão 0.4.7 ou posterior para resolver o problema. Como solução temporária, considere implementar uma única mensagem de erro, como “Nome de usuário/senha incorreto!”, com um único código de retorno, para impedir que invasores enumerem nomes de usuário com base na resposta do aplicativo.

**Nome do software vulnerável e versões afetadas** Versões 0.4.4.3 a 0.4.6 do CasaOS **Descrição** A aplicação web CasaOS não possui controle sobre as tentativas de login, permitindo que invasores realizem ataques de força bruta contra senhas e obtenham acesso total ao servidor com privilégios de superusuário. **Recomendações** Para as versões 0.4.4.3 a 0.4.6, atualize para a versão 0.4.7 para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade de login até que um patch seja aplicado. Evite usar a aplicação web para operações críticas até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** CasaOS-UserService, versões 0.4.4.3 a 0.4.6 **Descrição** A página de login do CasaOS apresenta uma vulnerabilidade de enumeração de nomes de usuário, permitindo que um invasor enumere nomes de usuário do CasaOS utilizando a resposta do aplicativo. Se o nome de usuário estiver incorreto, o aplicativo exibe a mensagem de erro `Usuário não existe`. Se a senha estiver incorreta, o aplicativo exibe a mensagem de erro `Senha inválida`. Essa vulnerabilidade pode ser explorada para enumeração de nomes de usuário. **Recomendações** Para as versões 0.4.4.3 a 0.4.6, atualize para a versão 0.4.7 para corrigir a vulnerabilidade. Como solução temporária, considere implementar uma única mensagem de erro, como `Nome de usuário/senha incorreto!!!`, com um único código de sucesso para impedir a enumeração de nomes de usuário.