Katalog CVE

CVE-2024-21574

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Problem wynika z braku walidacji pola pip w żądaniu POST wysyłanym do punktu końcowego /customnode/install, który jest używany do instalacji niestandardowych węzłów dodawanych do serwera przez rozszerzenie. Umożliwia to atakującemu skonstruowanie żądania, które wywołuje instalację pakietu lub adresu URL kontrolowanego przez użytkownika, co prowadzi do zdalnego wykonania kodu (RCE) na serwerze.

Ocena ryzyka

Brak walidacji może prowadzić do poważnych luk w zabezpieczeniach, umożliwiając atakującym zdalne wykonanie kodu na serwerze, co zagraża integralności i poufności danych organizacji.

Rekomendacja

Zaleca się wprowadzenie odpowiedniej walidacji pola pip w żądaniach do punktu końcowego /customnode/install oraz monitorowanie i ograniczenie dostępu do tego endpointu.

Oryginalny opis (angielski, źródło NVD)

The issue stems from a missing validation of the pip field in a POST request sent to the /customnode/install endpoint used to install custom nodes which is added to the server by the extension. This allows an attacker to craft a request that triggers a pip install on a user controlled package or URL, resulting in remote code execution (RCE) on the server.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS