PT-2024-29333 · Filestash · Filestash

Publicado

2024-07-31

·

Atualizado

2024-08-06

·

CVE-2024-41255

CVSS v4.0

8.7

Alta

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
filestash versão 0.4
Descrição
O problema está relacionado ao fato de o filestash estar configurado para ignorar a verificação do certificado TLS ao usar o protocolo FTPS. Isso poderia permitir que invasores executassem um ataque man-in-the-middle por meio da função Init do arquivo index.go.
Recomendações
Para o filestash versão 0.4, considere desativar o protocolo FTPS até que uma correção esteja disponível para habilitar a verificação do certificado TLS. Restrinja o acesso à função Init do index.go para minimizar o risco de exploração. Evite usar o protocolo FTPS no filestash até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Improper Certificate Validation

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-453CWE-295

Identificadores relacionados

CVE-2024-41255
GHSA-4JMM-C6JW-G796
GO-2024-3033

Produtos afetados

Filestash