| CVE ID | CVE-2024-3798 |
| Data publikacji | 10 lipca 2024 |
| Producent podatnego oprogramowania | Phoniebox |
| Nazwa podatnego oprogramowania | Phoniebox |
| Podatne wersje | Wszystkie do 2.7 włącznie |
| Typ podatności (CWE) | Cross-Site Request Forgery (CSRF) (CWE-352) |
| Źródło zgłoszenia | Badania własne |
| CVE ID | CVE-2024-3799 |
| Data publikacji | 10 lipca 2024 |
| Producent podatnego oprogramowania | Phoniebox |
| Nazwa podatnego oprogramowania | Phoniebox |
| Podatne wersje | Wszystkie do 2.7 włącznie |
| Typ podatności (CWE) | Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') (CWE-78) |
| Źródło zgłoszenia | Badania własne |
Opis podatności
CERT Polska w ramach badań własnych znalazł kilka słabości w otwartoźródłowym projekcie Phoniebox.
W przypadku obu podatności scenariusz ataku zakłada odwiedziny użytkownika na stronie, która rozsyła żądania HTTP do innych hostów leżących w tej samej sieci lokalnej, ponieważ projekt Phoniebox nie powinien być publicznie dostępny w Internecie.
Podatność CVE-2024-3798 umożliwia wstrzyknięcie komend powłoki, które zostaną wykonane na serwerze, jak również ataki typu Reflected XSS oraz Cross-Site Request Forgery. Odbywa się to poprzez modyfikację parametru file w żądaniach GET. Z kolei podatność CVE-2024-3799 pozwala na wstrzyknięcie komend powłoki korzystając z modyfikacji parametru body w żądaniach POST.
Podatne są wszystkie wydania do 2.7 włącznie. Na chwilę pisania tego artykułu nowsze nie były dostępne, problem może więc dotyczyć również wyższych wersji.
Na platformie Github został założony issue adresujący te problemy.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.