CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-21574

Critical
Published: Translated: NVD NIST

Summary

Problem wynika z braku walidacji pola pip w żądaniu POST wysyłanym do punktu końcowego /customnode/install, który jest używany do instalacji niestandardowych węzłów dodawanych do serwera przez rozszerzenie. Umożliwia to atakującemu skonstruowanie żądania, które wywołuje instalację pakietu lub adresu URL kontrolowanego przez użytkownika, co prowadzi do zdalnego wykonania kodu (RCE) na serwerze.

Risk Assessment

Brak walidacji może prowadzić do poważnych luk w zabezpieczeniach, umożliwiając atakującym zdalne wykonanie kodu na serwerze, co zagraża integralności i poufności danych organizacji.

Recommendation

Zaleca się wprowadzenie odpowiedniej walidacji pola pip w żądaniach do punktu końcowego /customnode/install oraz monitorowanie i ograniczenie dostępu do tego endpointu.

Original NVD description (English source)

The issue stems from a missing validation of the pip field in a POST request sent to the /customnode/install endpoint used to install custom nodes which is added to the server by the extension. This allows an attacker to craft a request that triggers a pip install on a user controlled package or URL, resulting in remote code execution (RCE) on the server.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS