CVE-2024-10082

Versões do CodeChecker até a 6.24.1

O problema está relacionado a uma falha no método de autenticação, permitindo que um invasor faça login como o usuário root integrado a partir de um serviço externo. O usuário root integrado é gerado de forma insegura, não pode ser desativado e possui acesso universal. Isso permite que um invasor, capaz de criar uma conta em um serviço de autenticação externo habilitado, faça login como usuário root e acesse e controle tudo por meio da interface web. Para ter sucesso, o invasor precisa obter o nome de usuário do usuário root. O nome de usuário do usuário root pode ser encontrado no arquivo root.user no diretório de configuração do CodeChecker.

Para versões do CodeChecker até a 6.24.1, atualize para uma versão posterior à 6.24.1 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso aos serviços de autenticação externos ou monitorar a instância do CodeChecker em busca de sinais de comprometimento. Além disso, analise os logs em busca de sinais de acesso não autorizado e considere desativar os serviços de autenticação externos até que o problema seja resolvido.