CVE-2026-28286

Nome do Software Vulnerável e Versões Afetadas ZimaOS versão 1.5.2-beta3

Descrição ZimaOS é um fork do CasaOS, um sistema operacional para dispositivos Zima e sistemas x86-64 com UEFI. O aplicativo impõe restrições na interface do usuário para impedir a criação de arquivos ou pastas em caminhos internos do sistema operacional. No entanto, essas restrições podem ser contornadas ao interagir diretamente com a API. Uma solicitação elaborada direcionada a caminhos como /etc, /usr ou outros diretórios sensíveis do sistema permite a criação de arquivos ou diretórios em locais onde usuários normais não deveriam ter permissão de escrita. A API não valida adequadamente o caminho de destino, permitindo operações não autorizadas em diretórios críticos do sistema. O endpoint da API vulnerável não especifica nenhum parâmetro ou função.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.