CVE-2024-8370

Nome do software vulnerável e versões afetadas:

Versões do Grocy até a 4.2.0

Descrição:

Foi encontrada uma vulnerabilidade crítica no componente SVG File Upload Handler do Grocy, afetando o caminho /api/files/recipepictures/. A manipulação do argumento force serve as com a entrada picture leva a um ataque de cross-site scripting. O ataque pode ser iniciado remotamente. A existência real dessa vulnerabilidade ainda é questionada, e o mantenedor do projeto não deseja ser citado a respeito dos fundamentos da controvérsia. A política de segurança do projeto implica que essa descoberta é “praticamente irrelevante” devido aos requisitos de autenticação. Observa-se um aumento nas atividades de agentes maliciosos visando o Grocy.

Recomendações:

Para proteger seu sistema, certifique-se de atualizar para a versão mais recente e aplicar todos os patches recomendados. Como solução temporária, considere restringir o acesso ao caminho /api/files/recipepictures/ no componente SVG File Upload Handler até que um patch esteja disponível. Evite usar o argumento force serve as com a entrada picture no endpoint da API afetado até que o problema seja resolvido.