Platform
windows
Component
craftos2
Opgelost in
2.8.4
CVE-2024-43395 beschrijft een directory traversal kwetsbaarheid in CraftOS-PC 2, een C++ implementatie van ComputerCraft voor Windows. Deze kwetsbaarheid stelt aanvallers in staat om de beveiliging van de computerfolder te omzeilen en ongeautoriseerd toegang te krijgen tot bestanden op het systeem. De kwetsbaarheid treedt op in versies van CraftOS-PC 2 tot en met 2.8.2 en is verholpen in versie 2.8.3.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige bestanden op het systeem. Een aanvaller kan bijvoorbeeld configuratiebestanden, wachtwoorden of andere vertrouwelijke informatie stelen. De impact is aanzienlijk omdat de aanvaller in staat is om bestanden buiten de toegestane computerfolder te benaderen, wat de potentiële schade aanzienlijk vergroot. Dit kan leiden tot data-exfiltratie, systeemcompromittering en verdere aanvalsmogelijkheden.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er zijn momenteel geen bekende actieve campagnes die deze specifieke kwetsbaarheid uitbuiten, maar de eenvoud van de exploitatie maakt het een aantrekkelijk doelwit. De kwetsbaarheid is gepubliceerd op 2024-08-16 en is opgenomen in de NVD database.
Users of CraftOS-PC 2 on Windows systems are at risk, particularly those who have not yet upgraded to version 2.8.3. Shared hosting environments where CraftOS-PC 2 is deployed could be particularly vulnerable, as a compromise of one instance could potentially lead to the compromise of others.
• windows / supply-chain:
Get-Process | Where-Object {$_.ProcessName -like '*CraftOS-PC*'} | Select-Object Path, CommandLine• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like '*CraftOS-PC*'} | Select-Object Action• windows / supply-chain: Check Autoruns for entries related to CraftOS-PC that might indicate malicious modifications.
disclosure
Exploit Status
EPSS
0.03% (10% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van CraftOS-PC 2 naar versie 2.8.3 of hoger. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van strikte toegangscontroles op het bestandssysteem om ongeautoriseerde toegang te voorkomen. Controleer de computerfolder op ongebruikelijke bestanden of wijzigingen die kunnen wijzen op een inbreuk. Overweeg het gebruik van een WAF (Web Application Firewall) om pogingen tot directory traversal te detecteren en te blokkeren, hoewel dit minder effectief is in een desktop applicatie context.
Actualice CraftOS-PC a la versión 2.8.3 o superior. Esta versión contiene una corrección para la vulnerabilidad de escape del sistema de archivos. Descargue la última versión desde el sitio web oficial o desde el repositorio de GitHub.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-43395 is a directory traversal vulnerability affecting CraftOS-PC 2 on Windows, allowing attackers to access files without permission by manipulating directory paths.
You are affected if you are using CraftOS-PC 2 on Windows with a version equal to or less than 2.8.2.
Upgrade CraftOS-PC 2 to version 2.8.3 or later to patch the vulnerability. Consider stricter file access controls as an interim measure.
There is currently no indication of active exploitation campaigns, but the vulnerability's simplicity suggests potential for future exploitation.
Refer to the CraftOS-PC project's official website or GitHub repository for the latest advisory and release notes.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.