Plataforma
docker
Componente
webhood
Corregido en
0.9.2
La vulnerabilidad CVE-2024-31218 afecta a Webhood, un escáner de URL auto-alojado utilizado para analizar sitios de phishing y maliciosos. Esta falta de autenticación permite a un atacante no autenticado crear una cuenta de administrador en la base de datos Pocketbase, comprometiendo la seguridad del sistema. La vulnerabilidad se encuentra presente en las imágenes de contenedor del backend de Webhood en versiones 0.9.0 y anteriores. La solución es actualizar a la versión 0.9.1.
La gravedad de esta vulnerabilidad radica en la facilidad con la que un atacante puede obtener acceso administrativo completo a la instancia de Webhood. Al crear una cuenta de administrador sin autenticación, el atacante puede modificar la configuración, acceder a datos sensibles recopilados por el escáner de URL, e incluso utilizar Webhood para lanzar ataques adicionales. La falta de autenticación en la API de administración de Pocketbase, combinada con la configuración predeterminada de Webhood que no crea cuentas de administrador, crea una ventana de oportunidad crítica para la explotación. Un atacante podría, por ejemplo, modificar las reglas de escaneo para que ignoren ciertos sitios maliciosos, o robar información confidencial sobre las campañas de phishing detectadas.
La vulnerabilidad fue publicada el 5 de abril de 2024. Actualmente, no se ha añadido a la lista KEV de CISA, pero la alta puntuación CVSS (9.8) indica un riesgo significativo. No se han reportado públicamente exploits activos, pero la facilidad de explotación hace que sea probable que se convierta en un objetivo para atacantes. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con Webhood.
Organizations utilizing Webhood for URL scanning, particularly those deploying it in self-hosted environments, are at significant risk. Shared hosting environments where Webhood is installed alongside other applications are especially vulnerable, as an attacker could potentially compromise the entire hosting account.
• docker: Inspect running containers for Webhood versions prior to 0.9.1. Use docker ps to identify containers and docker exec -it <container_id> sh to access the container's shell. Then, check the version using webhood --version.
• generic web: Monitor access logs for requests to /api/admin/users without authentication headers. Look for POST requests to this endpoint originating from unusual IP addresses.
• generic web: Monitor Pocketbase database logs for new admin user creation events. These logs typically contain timestamps and user details.
disclosure
Estado del Exploit
EPSS
0.29% (52% percentil)
Vector CVSS
La mitigación principal para CVE-2024-31218 es actualizar Webhood a la versión 0.9.1, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Una opción es restringir el acceso a la API de administración de Pocketbase mediante reglas de firewall o proxies inversos, limitando el acceso solo a direcciones IP confiables. Otra medida es implementar un sistema de autenticación robusto para la API de administración, incluso si no se requiere en la configuración predeterminada de Pocketbase. Después de la actualización, confirme que la API de administración requiere autenticación mediante una prueba de acceso no autenticado.
Actualice Webhood a la versión 0.9.1 o superior. Como alternativa, puede bloquear el acceso a la ruta `/api/admins` en su configuración del servidor web para mitigar la vulnerabilidad si no puede actualizar inmediatamente. Esto evitará la creación no autorizada de cuentas de administrador.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-31218 es una vulnerabilidad de falta de autenticación en Webhood, que permite a atacantes crear cuentas de administrador sin autenticación en la base de datos Pocketbase.
Si está utilizando Webhood en versiones 0.9.0 o anteriores, es vulnerable a esta vulnerabilidad. Actualice a la versión 0.9.1 para mitigar el riesgo.
La solución es actualizar Webhood a la versión 0.9.1. Si la actualización no es posible, implemente medidas de seguridad adicionales como restricciones de firewall.
Aunque no se han reportado exploits activos, la facilidad de explotación hace que sea probable que se convierta en un objetivo para atacantes. Monitoree las fuentes de inteligencia de amenazas.
Consulte el repositorio de Webhood en GitHub para obtener información oficial y actualizaciones sobre la vulnerabilidad: [https://github.com/Webhood-io/Webhood](https://github.com/Webhood-io/Webhood)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo Dockerfile y te decimos al instante si estás afectado.