CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-41961

Critical
Published: Translated: NVD NIST

Summary

W aplikacji webowej Elektra, opartej na Ruby on Rails, zidentyfikowano podatność na wstrzykiwanie kodu w funkcjonalności wyszukiwania na żywo. Użytkownik z autoryzacją może stworzyć termin wyszukiwania zawierający kod Ruby, który następnie jest wykonywany przez funkcję `eval`.

Risk Assessment

Podatność ta może prowadzić do wykonania dowolnego kodu na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa aplikacji oraz danych użytkowników. Może to skutkować nieautoryzowanym dostępem lub manipulacją danymi.

Recommendation

Zaleca się aktualizację aplikacji Elektra do wersji zawierającej poprawkę z commit 8bce00be93b95a6512ff68fe86bf9554e486bc02, aby usunąć tę podatność. Dodatkowo warto przeprowadzić audyt bezpieczeństwa aplikacji.

Original NVD description (English source)

Elektra is an opinionated Openstack Dashboard for Operators and Consumers of Openstack Services. A code injection vulnerability was found in the live search functionality of the Ruby on Rails based Elektra web application. An authenticated user can craft a search term containing Ruby code, which later flows into an `eval` sink which executes the code. Fixed in commit 8bce00be93b95a6512ff68fe86bf9554e486bc02.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS