Informazioni sul CVE-2024-34067
Multiple cross site scripting (XSS) vulnerabilities in the admin area of Pterodactyl panel
CWE ID: CWE-79
Base Score (CVSS): N/A
CVE: CVE-2024-34067
Descrizione: Pterodactyl è un panel di gestione server per giochi libero, aperto e gratuito, costruito con PHP, React e Go. Importare un uovo malevolo o ottenere accesso alle ali dell’istanza potrebbe portare a cross-site scripting (XSS) sul panel, che potrebbe essere utilizzato per ottenere un account amministratore sul panel. In particolare, i seguenti aspetti sono colpiti: immagini Uovo Docker e variabili Uovo: Nome, Variabile Ambiente, Valore Predefinito, Descrizione, Regole di Validazione. Inoltre, alcuni campi rifletterebbero input malevolo, ma richiederebbe all’utente di inserire input tale da avere un impatto. Per iterare, questo richiederebbe un amministratore per eseguire azioni e non può essere attivato da un utente normale del panel. Questo problema è stato risolto nella versione 1.11.6 e gli utenti sono invitati ad aggiornare. Non è disponibile alcuna soluzione alternativa al di là di aggiornare alla versione più recente del panel.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: Required, Confidenzialità: Low, Integrità: Low, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | R | Required | È richiesta l’interazione di un utente. |
| Scope (S) | C | Changed | La vulnerabilità impatta su componenti esterni. |
| Confidentiality Impact (C) | L | Low | Impatto limitato. |
| Integrity Impact (I) | L | Low | Impatto limitato. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
- https://github.com/pterodactyl/panel/security/advisories/GHSA-384w-wffr-x63q
- https://github.com/pterodactyl/panel/commit/0dad4c5a488661f9adc27dd311542516d9bfa0f2
- https://github.com/pterodactyl/panel/commit/1172d71d31561c4e465dabdf6b838e64de48ad16
- https://github.com/pterodactyl/panel/commit/f671046947e4695b5e1c647df79305c1cefdf817
Prodotti interessati
- pterodactyl – panel
Relazioni con altri prodotti
Produttore:pterodactyl
Prodotto: panel
Anno: 2024
CWE: CWE-79
CVSS: 0.0