Informazioni sul CVE-2025-0655
Remote Code Execution via Global State Override in man-group/dtale
CWE ID: CWE-77
Base Score (CVSS): N/A
CVE: CVE-2025-0655
Descrizione: Una vulnerabilità in man-group/dtale version 3.15.1 consente a un attaccante di sovrascrivere le impostazioni globali di stato per abilitare la funzionalità `enable_custom_filters`, che è tipicamente limitata a ambienti fidati. Una volta abilitata, l’attaccante può sfruttare l’endpoint /test-filter per eseguire comandi del sistema arbitrari, portando a esecuzione di codice arbitrario (RCE). Questo problema è stato risolto in versione 3.16.1.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://huntr.com/bounties/f63af7bd-5438-4b36-a39b-4c90466cff13
- https://github.com/man-group/dtale/commit/1e26ed3ca12fe83812b90f12a2b3e5fb0b740f7a
Prodotti interessati
- man-group – man-group/dtale
Relazioni con altri prodotti
Produttore:man-group
Prodotto: man-group/dtale
Anno: 2025
CWE: CWE-77
CVSS: 0.0