CVE-2024-10081

Versões do CodeChecker até a 6.24.1

O contorno da autenticação ocorre quando a URL da API termina com Authentication, permitindo que usuários com privilégios de superusuário acessem todos os pontos de extremidade da API, exceto /Authentication. Esses pontos de extremidade incluem a capacidade de adicionar, editar e remover produtos, entre outras funções. Todos os pontos de extremidade, exceto o ponto de extremidade /Authentication, são afetados pelo problema. Essa omissão permite que usuários não autenticados acessem todas as funcionalidades da API, incluindo consultar, adicionar, alterar e excluir produtos contidos no servidor do CodeChecker sem autenticação.

Para as versões do CodeChecker até a 6.24.1, atualize para uma versão que contenha uma correção para este problema. Como solução alternativa temporária, considere restringir o acesso a todos os endpoints da API, exceto /Authentication, para minimizar o risco de exploração. Além disso, analise os logs em busca de sinais de exploração, procurando o padrão em que a URL começa com ‘v’ e contém um endpoint válido do CodeChecker, mas termina em Authentication, Configuration ou ServerInfo e foi criada por um usuário Anonymous. Isole os sistemas vulneráveis até que sejam corrigidos.