CVE-2024-24765

Versões do CasaOS-UserService anteriores à 0.4.7

O problema diz respeito a uma vulnerabilidade de traversal de caminho na API do UserService, que permite que um agente não autorizado acesse qualquer arquivo no sistema devido à filtragem insuficiente de caminhos para arquivos de imagem de avatares de usuários. Isso pode levar à exposição de dados confidenciais, como o banco de dados de usuários do CasaOS, e potencialmente resultar em escalonamento de privilégios até os privilégios de root do sistema. A vulnerabilidade pode ser explorada através da construção de caminhos para acessar arquivos arbitrários, conforme demonstrado pelo endpoint da API “/v1/users/image” com um parâmetro path vulnerável.

Para versões anteriores à 0.4.7, atualize para a versão 0.4.7 para corrigir o problema. Como solução temporária, considere restringir o acesso ao endpoint da API /v1/users/image até que a atualização possa ser aplicada. Além disso, evite usar o parâmetro path no endpoint da API afetado até que o problema seja resolvido.