CVE-2024-48987
CVE-2024-48987
Em resumo
O Snipe-IT versões anteriores à 7.0.10 pode ser invadido por alguém que conhece a APP_KEY (um código secreto), permitindo executar código malicioso no servidor. O problema é pior porque valores padrão da APP_KEY estão visíveis publicamente nos arquivos do projeto.
Detalhe técnico
Execução remota de código através de desserialização insegura de cookies no Snipe-IT anterior à 7.0.10 quando a APP_KEY é conhecida ou configurada com um valor padrão exposto em arquivos .env do repositório. Um atacante pode criar um payload serializado malicioso em cookies para alcançar execução de código.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Snipe-IT before 7.0.10 allows remote code execution (associated with cookie serialization) when an attacker knows the APP_KEY. This is exacerbated by .env files, available from the product's repository, that have default APP_KEY values.
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/aQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →