PT-2024-18995 · Pyload · Pyload
Pinkdraconian
·
Publicado
2024-01-08
·
Atualizado
2024-01-11
·
CVE-2024-21645
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do pyload anteriores à 0.5.0b3.dev77
Descrição
Uma falha de injeção de log permite que qualquer agente não autenticado injete mensagens arbitrárias nos logs coletados pelo pyload. Isso pode ser feito fornecendo um nome de usuário que contenha uma quebra de linha ao tentar fazer login com credenciais incorretas, já que a quebra de linha não é escapada corretamente e serve como delimitador entre as entradas do log. Arquivos de log falsificados ou corrompidos podem ser usados para encobrir os rastros de um invasor ou implicar outra parte em um ato malicioso.
Recomendações
Para versões anteriores à 0.5.0b3.dev77, atualize para a versão 0.5.0b3.dev77 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à funcionalidade de login para minimizar o risco de exploração. Evite usar o parâmetro
username no endpoint de login até que o problema seja resolvido.Exploit
Correção
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Pyload