PT-2024-33480 · Zimaos · Zimaos
Drdark1999
·
Publicado
2024-10-24
·
Atualizado
2026-04-06
·
CVE-2024-49357
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
ZimaOS versões 1.2.4 e anteriores
Descrição
O problema diz respeito à exposição de dados confidenciais por meio de pontos de extremidade da API, como
http://<Server-IP>/v1/users/image?path=/var/lib/casaos/1/app order.json e http://<Server-IP>/v1/users/image?path=/var/lib/casaos/1/system.json, sem exigir autenticação ou autorização. Isso permite que invasores obtenham conhecimento detalhado sobre a configuração do sistema, aplicativos instalados e outras informações críticas.Recomendações
Para as versões 1.2.4 e anteriores do ZimaOS, como solução temporária, considere restringir o acesso aos pontos de extremidade da API vulneráveis até que um patch esteja disponível. Evite usar esses pontos de extremidade para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.
Exploit
Correção
Missing Authorization
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Zimaos