CVE-2024-31450

Versões do Owncast anteriores à 0.1.3

O Owncast é um servidor de streaming de vídeo ao vivo e chat de código aberto, auto-hospedado e descentralizado para um único usuário. O aplicativo Owncast disponibiliza uma API de administrador na URL “/api/admin”. O endpoint “emoji/delete” dessa API permite que administradores excluam emojis personalizados, que são salvos no disco. O parâmetro name é obtido da solicitação JSON e anexado diretamente ao caminho do arquivo que aponta para o emoji a ser excluído. Ao usar sequências de traversal de caminho (../), invasores com privilégios administrativos podem explorar esse endpoint para excluir arquivos arbitrários no sistema, fora do diretório de emojis.

Para versões anteriores à 0.1.3, atualize para a versão 0.1.3 para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint “/api/admin”, especificamente ao endpoint “emoji/delete”, para minimizar o risco de exploração. Evite usar o parâmetro name no endpoint da API afetado até que o problema seja resolvido.