Rushi9

**Name of the Vulnerable Software and Affected Versions** ZimaOS version 1.5.2-beta3 **Description** ZimaOS, a fork of CasaOS, exhibits a security issue where restrictions on deleting internal system files and folders can be bypassed through manipulation of the API. Specifically, altering the path parameter in a delete request allows users to remove sensitive operating system files and directories. The backend does not validate if the targeted path is within restricted system locations, indicating improper input validation and broken access control on filesystem operations. The API endpoint used for deletion accepts a path parameter that is not properly sanitized. The `path` parameter is vulnerable to manipulation. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** ZimaOS versão 1.5.2-beta3 **Descrição** ZimaOS é um fork do CasaOS, um sistema operacional para dispositivos Zima e sistemas x86-64 com UEFI. O aplicativo impõe restrições na interface do usuário para impedir a criação de arquivos ou pastas em caminhos internos do sistema operacional. No entanto, essas restrições podem ser contornadas ao interagir diretamente com a API. Uma solicitação elaborada direcionada a caminhos como `/etc`, `/usr` ou outros diretórios sensíveis do sistema permite a criação de arquivos ou diretórios em locais onde usuários normais não deveriam ter permissão de escrita. A API não valida adequadamente o caminho de destino, permitindo operações não autorizadas em diretórios críticos do sistema. O endpoint da API vulnerável não especifica nenhum parâmetro ou função. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.