CVE-2024-39755

Veertu Anka Build versão 1.42.0

Existe uma vulnerabilidade de escalonamento de privilégios na funcionalidade de atualização de nós do Veertu Anka Build. A vulnerabilidade ocorre durante a atualização do agente de nó Anka, permitindo que um usuário com privilégios baixos provoque a falha. Um arquivo PKG especialmente criado pode levar à execução de operações com privilégios. Um invasor pode fazer uma solicitação HTTP não autenticada para acionar essa vulnerabilidade. O problema se deve a um ataque do tipo Time-of-Check-to-Time-of-Use (TOCTOU), em que o pacote baixado pode ser substituído por um malicioso antes da instalação.

Para a versão 1.42.0 do Veertu Anka Build, considere desativar a funcionalidade de atualização do nó até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao processo de atualização do agente do nó Anka para minimizar o risco de escalonamento de privilégios. Evite usar arquivos PKG especialmente criados no processo de atualização. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.