| CVE ID | CVE-2024-4748 |
| Data publikacji | 24 czerwca 2024 |
| Producent podatnego oprogramowania | CRUDDIY |
| Nazwa podatnego oprogramowania | CRUDDIY |
| Podatne wersje | Wszystkie do 202312.1 włącznie |
| Typ podatności (CWE) | Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') (CWE-78) |
| Źródło zgłoszenia | Badania własne |
Opis podatności
CERT Polska w ramach badań własnych znalazł podatność w otwartoźródłowym oprogramowaniu CRUDDIY i koordynował proces ujawniania informacji.
Podatność CVE-2024-4748 pozwala na wstrzyknięcie komend powłoki poprzez wysłanie specjalnie utworzonego w tym celu żądania POST do serwera aplikacyjnego. Ryzyko wykorzystania podatności jest ograniczone, ponieważ instancje projektu CRUDDIY nie powinny być publicznie dostępne w Internecie. Niemniej jednak jeśli użytkownik, który posiadałby serwer uruchomiony lokalnie, odwiedziłby stronę z zaszytym skryptem wysyłającym żądanie do serwera, to mógłby zostać ofiarą skutecznego ataku.
Ponieważ podatność nie została uznana przez autorów za istotną, projekt nie otrzymał łatki usuwającej tę słabość. Ostatnią testowaną wersją była 202312.1, jednakże nowsze wersje również mogą być podatne.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.