CVE-2024-32880

Nome do Software Vulnerável e Versões Afetadas pyload (versões afetadas não especificadas)

Descrição Um usuário autenticado pode obter a execução remota de código ao alterar a pasta de download e carregar um modelo manipulado nesse local. Isso é possível através do endpoint '/json/add package' usando o parâmetro add file para carregar um arquivo malicioso. O problema é acionado via endpoint '/render/{filename}', onde a função render() processa o arquivo carregado, levando ao Server-Side Template Injection (SSTI)—uma vulnerabilidade onde um invasor injeta código malicioso em um modelo que é então executado no servidor.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Restrinja o acesso aos endpoints '/json/add package' e '/render/{filename}' para minimizar o risco de exploração.