CVE-2024-43798

Versões do Chisel anteriores à 1.10.0

O servidor Chisel não lê a variável de ambiente AUTH documentada, usada para definir credenciais, permitindo que qualquer usuário não autenticado se conecte, mesmo que as credenciais tenham sido definidas. Esse problema afeta qualquer pessoa que esteja executando o servidor Chisel e que utilize a variável de ambiente AUTH para especificar as credenciais de autenticação. O Chisel é frequentemente usado para fornecer um ponto de entrada para uma rede privada, o que significa que serviços controlados pelo Chisel podem ser afetados. Além disso, o Chisel é frequentemente usado para expor serviços à Internet. Um invasor poderia realizar um ataque man-in-the-middle (MITM) conectando-se a um servidor Chisel e solicitando o encaminhamento de tráfego de uma porta remota.

Para versões anteriores à 1.10.0, atualize para a versão 1.10.0 para resolver o problema. Como solução temporária, considere desativar o uso da variável de ambiente AUTH até que um patch esteja disponível. Restrinja o acesso ao servidor Chisel para minimizar o risco de exploração. Evite usar a variável de ambiente AUTH no servidor Chisel afetado até que o problema seja resolvido.