CVE-2024-45256
KrytyczneStreszczenie
W wersji 2.0 BYOB (Build Your Own Botnet) występuje problem z zapisem dowolnych plików w punkcie wycieków, który pozwala atakującym na nadpisywanie baz danych SQLite oraz obejście uwierzytelnienia za pomocą nieautoryzowanego żądania HTTP z odpowiednio skonstruowanym parametrem. Problem ten występuje w funkcji file_add w pliku api/files/routes.py.
Ocena ryzyka
Organizacje mogą być narażone na utratę danych oraz nieautoryzowany dostęp do systemów, co może prowadzić do poważnych incydentów bezpieczeństwa. Atakujący mogą wykorzystać tę podatność do manipulacji danymi w bazach danych.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji BYOB, aby usunąć tę podatność. Dodatkowo, należy wdrożyć odpowiednie mechanizmy zabezpieczeń, aby ograniczyć dostęp do punktów wycieków.
Oryginalny opis (angielski, źródło NVD)
An arbitrary file write issue in the exfiltration endpoint in BYOB (Build Your Own Botnet) 2.0 allows attackers to overwrite SQLite databases and bypass authentication via an unauthenticated HTTP request with a crafted parameter. This occurs in file_add in api/files/routes.py.

