Katalog CVE

CVE-2025-24891

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Dumb Drop to aplikacja do przesyłania plików, która zawiera podatność na traversję ścieżki. Użytkownicy z uprawnieniami do przesyłania plików mogą nadpisywać dowolne pliki systemowe, co może prowadzić do wstrzykiwania złośliwych ładunków do plików uruchamianych na harmonogramie lub w wyniku działań serwisu.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia nieautoryzowanym użytkownikom uzyskanie dostępu do systemu z uprawnieniami roota. Może to prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.

Rekomendacja

Zaleca się ograniczenie uprawnień do przesyłania plików tylko do zaufanych użytkowników oraz włączenie uwierzytelniania w serwisie. Należy również monitorować i zabezpieczać system przed potencjalnymi atakami wykorzystującymi tę podatność.

Oryginalny opis (angielski, źródło NVD)

Dumb Drop is a file upload application. Users with permission to upload to the service are able to exploit a path traversal vulnerability to overwrite arbitrary system files. As the container runs as root by default, there is no limit to what can be overwritten. With this, it's possible to inject malicious payloads into files ran on schedule or upon certain service actions. As the service is not required to run with authentication enabled, this may permit wholly unprivileged users root access. Otherwise, anybody with a PIN.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS