CVE-2024-52010

Versões 2.6.1 a 3.1.2 do Zoraxy

Uma vulnerabilidade de injeção de comando no recurso Web SSH permite que um invasor autenticado execute comandos arbitrários como root no host. O Zoraxy possui um recurso de terminal Web SSH que permite que usuários autenticados se conectem a servidores SSH a partir de seus navegadores. Na função HandleCreateProxySession, a solicitação para criar uma sessão SSH é processada. Um invasor pode explorar a variável username para escapar do comando bash e injetar comandos arbitrários em sshCommand. Isso é possível porque, ao contrário do nome do host e da porta, o username não é validado nem sanitizado. Se o Zoraxy for executado sem autenticação da interface de gerenciamento ou no Docker com o soquete do Docker montado, essa vulnerabilidade pode ser explorada sem autenticação ou para escapar do contêiner do Zoraxy e obter acesso ao host do Docker.

Para as versões 2.6.1 a 3.1.2 do Zoraxy, atualize para uma versão que contenha uma correção para esta vulnerabilidade.

Como solução alternativa temporária, considere desativar o recurso Web SSH até que um patch esteja disponível.

Restrinja o acesso à função HandleCreateProxySession para minimizar o risco de exploração.

Evite usar a variável username no endpoint da API afetado até que o problema seja resolvido.

Se estiver executando o Zoraxy no Docker, certifique-se de que o soquete do Docker não esteja montado para impedir a fuga do contêiner.

Se estiver executando o Zoraxy sem autenticação, habilite a au