CVE-2024-48987
CVE-2024-48987
En resumen
Snipe-IT versiones anteriores a 7.0.10 pueden ser comprometidas por alguien que conozca la APP_KEY (un código secreto), permitiendo ejecutar código malicioso en el servidor. El problema es más grave porque los valores predeterminados de APP_KEY están visibles públicamente en los archivos del proyecto.
Detalle técnico
Ejecución remota de código a través de deserialización insegura de cookies en Snipe-IT anterior a 7.0.10 cuando la APP_KEY es conocida o configurada con un valor predeterminado expuesto en archivos .env del repositorio. Un atacante puede crear un payload serializado malicioso en cookies para lograr ejecución de código.
Resumen generado y traducido por IA a partir de la descripción oficial.
Snipe-IT before 7.0.10 allows remote code execution (associated with cookie serialization) when an attacker knows the APP_KEY. This is exacerbated by .env files, available from the product's repository, that have default APP_KEY values.
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/a¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →