CVE-2025-24891

Nome do Software Vulnerável e Versões Afetadas Dumb Drop (versões afetadas não especificadas)

Descrição O problema refere-se a uma vulnerabilidade de path traversal na aplicação de upload de arquivos Dumb Drop. Usuários com permissão para fazer upload no serviço podem explorar esta vulnerabilidade para sobrescrever arquivos arbitrários do sistema. Como o contêiner é executado como root por padrão, não há limite para o que pode ser sobrescrito. Isso permite a injeção de payloads maliciosos em arquivos que são executados por agendamento ou mediante certas ações do serviço. Se não for necessário executar o serviço com autenticação habilitada, isso pode permitir que usuários totalmente sem privilégios obtenham acesso root, ou, caso contrário, acesso para qualquer pessoa com um PIN.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.