CVE-2024-22204

Whoogle Search versões 0.8.3 e anteriores

O Whoogle Search é um metamotor de busca auto-hospedado. A falha permite uma vulnerabilidade limitada de gravação de arquivos quando determinadas opções de configuração estão ativadas. A função config em app/routes.py não valida as variáveis name e config data, controladas pelo usuário, levando à manipulação de caminho e à gravação limitada de arquivos. Os dados salvos são transformados em um dicionário com dados arbitrários e um par chave-valor url antes de serem salvos no sistema. Esta vulnerabilidade permite salvar e sobrescrever arquivos no sistema com as permissões do aplicativo.

Para as versões 0.8.3 e anteriores, atualize para a versão 0.8.4 para resolver o problema.

Como solução temporária, considere desativar a função config em app/routes.py até que um patch esteja disponível.

Restrinja o acesso às opções de configuração no Whoogle para minimizar o risco de exploração.

Evite usar as variáveis name e config data na função config afetada até que a vulnerabilidade seja resolvida.