CVE-2024-43804

Roxy-WI (versões afetadas não especificadas)

O problema está relacionado a uma vulnerabilidade de injeção de comando do sistema operacional na interface web do Roxy-WI para gerenciamento de servidores. Essa vulnerabilidade permite que qualquer usuário autenticado execute código arbitrário no servidor da aplicação web por meio da funcionalidade de varredura de portas. A entrada fornecida pelo usuário é utilizada sem validação ao construir e executar um comando do sistema operacional. Especificamente, a variável ip, que pode ser controlada pelo invasor, é usada ao construir as strings cmd e cmd1 sem qualquer validação adicional. A função server mod.subprocess execute é chamada tanto em cmd1 quanto em cmd2, o que resulta em injeção de comando do sistema operacional devido ao uso de subprocess.Popen() com shell=True.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade. Recomenda-se que os usuários entrem em contato com a Roxy-WI para coordenar uma correção. Como solução alternativa temporária, considere restringir o acesso à funcionalidade de varredura de portas para minimizar o risco de exploração. Evite usar a variável ip no endpoint da API afetado até que o problema seja resolvido.