Plateforme
linux
Composant
zimaos
Corrigé dans
1.2.5
Une vulnérabilité d'accès arbitraire aux fichiers a été découverte dans ZimaOS, un système d'exploitation dérivé de CasaOS. Cette faille, présente dans les versions 1.2.4 et antérieures, permet à des utilisateurs authentifiés de lire des fichiers sensibles sur le système. L'impact principal réside dans la possibilité d'accéder au fichier /etc/shadow, contenant les hachages de mots de passe, ce qui peut entraîner une compromission du système et une escalade de privilèges. La version corrigée est 1.2.5.
L'exploitation réussie de cette vulnérabilité permet à un attaquant authentifié de lire n'importe quel fichier accessible par le processus web de ZimaOS. Le vecteur d'attaque est la manipulation du paramètre files dans l'API http://<ZimaServerIP:PORT>/v3/file?token=<token>&files=<file_path>. L'accès au fichier /etc/shadow est particulièrement critique, car il contient les hachages des mots de passe de tous les utilisateurs du système. La compromission de ces hachages pourrait permettre à un attaquant de déchiffrer les mots de passe et d'obtenir un accès complet au système. Bien que l'authentification soit requise, la vulnérabilité pourrait être exploitée par des utilisateurs internes malveillants ou par des attaquants ayant déjà compromis un compte utilisateur.
Cette vulnérabilité a été rendue publique le 24 octobre 2024. Il n'y a pas d'indication d'une présence sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la nécessité d'une authentification préalable et de la complexité relative de la manipulation du paramètre files. Des preuves d'exploitation active n'ont pas été rapportées publiquement, mais la simplicité de l'exploitation potentielle pourrait inciter les attaquants à l'explorer.
Organizations and individuals using ZimaOS, particularly those running it on x86-64 systems with UEFI, are at risk. Shared hosting environments where multiple users share a single ZimaOS instance are particularly vulnerable, as a compromise of one user's account could lead to the exposure of data for all users on the system. Legacy configurations with weak authentication mechanisms are also at increased risk.
• linux / server:
journalctl -u zimaos | grep -i "file access"• linux / server:
ps aux | grep zimaos• generic web:
curl -I http://<Zima_Server_IP:PORT>/v3/file?token=<valid_token>&files=/etc/shadow• generic web:
grep "/etc/shadow" /var/log/nginx/access.logdisclosure
Statut de l'Exploit
EPSS
0.53% (percentile 67%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour ZimaOS vers la version 1.2.5, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de limiter l'accès à l'API v3/file via un pare-feu ou un proxy inverse, en restreignant l'accès aux adresses IP autorisées. Il est également recommandé de renforcer les politiques de mots de passe et d'activer l'authentification à deux facteurs pour réduire l'impact potentiel d'une compromission des hachages de mots de passe. Surveillez attentivement les journaux d'accès du serveur web pour détecter des tentatives d'accès suspectes au fichier /etc/shadow. Après la mise à jour, vérifiez l'intégrité du système en recherchant des fichiers modifiés ou des processus inconnus.
Actualizar a una versión parcheada cuando esté disponible. Como no hay una versión parcheada, se recomienda restringir el acceso a la API y monitorear el sistema en busca de accesos no autorizados hasta que se publique una actualización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-48931 is a HIGH severity vulnerability in ZimaOS versions ≤1.2.4 that allows authenticated users to read arbitrary files, potentially including sensitive system files like /etc/shadow.
You are affected if you are running ZimaOS version 1.2.4 or earlier. Upgrade to version 1.2.5 to mitigate the risk.
Upgrade ZimaOS to version 1.2.5 or later. As a temporary workaround, implement a WAF rule to block suspicious requests to the /v3/file endpoint.
There are currently no confirmed reports of active exploitation, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the ZimaOS official website and GitHub repository for the latest security advisories and updates related to CVE-2024-48931.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.