PT-2024-30667 · Send+1 · Send+1

Adamkorcz

·

Publicado

2024-09-10

·

Atualizado

2025-06-23

·

CVE-2024-43799

CVSS v3.1

5.0

Média

VetorAV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:L
Nome do software vulnerável e versões afetadas
Versões do Send anteriores à 0.19.0
Descrição
O problema decorre da passagem de entradas de usuário não confiáveis para SendStream.redirect(), o que pode levar à execução de código não confiável. Isso ocorre mesmo quando a entrada é sanitizada. A biblioteca Send é usada para transmitir arquivos do sistema de arquivos como uma resposta HTTP.
Recomendações
Para versões anteriores à 0.19.0, atualize para a versão 0.19.0 para corrigir o problema.
Como solução alternativa temporária, certifique-se de que quaisquer entradas não confiáveis sejam seguras, validando-as em relação a uma lista de permissões explícita.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

AZL-49088
AZL-49123
AZL-49164
CVE-2024-43799
DLA-4224-1
GHSA-M6FV-JMCG-4JFG

Produtos afetados

Debian
Send