bdu,nvd,anchore_overrides
Icewhale
Уязвимости
10
Эксплуатируемые
0
Критический
6
Высокий
3
Топ продуктов
Топ уязвимостей
CVE-2024-24767CasaOS-UserService предоставляет функции управления пользователями для CasaOS. Начиная с версии 0.4.4.3 и до версии 0.4.7 CasaOS не защищается от атак перебором пароля, что приводит к полному доступу к серверу. Веб-приложение не контролирует попытки входа в систему. Эта уязвимость позволяет злоумышленникам получить доступ к серверу на уровне суперпользователя. Версия 0.4.7 содержит исправление для этой проблемы.
CVE-2024-24765CasaOS-UserService предоставляет функции управления пользователями для CasaOS. До версии 0.4.7 фильтрация пути URL-адреса для файлов изображений аватаров пользователей не была строгой, что позволяло получать любой файл в системе. Это могло позволить неавторизованному субъекту получить доступ, например, к базе данных пользователей CasaOS и, возможно, получить права root в системе. Версия 0.4.7 устраняет эту проблему.
CVE-2023-37266CasaOS — это персональная облачная система с открытым исходным кодом. Неаутентифицированные злоумышленники могут создавать произвольные JWT и получать доступ к функциям, которые обычно требуют аутентификации, и выполнять произвольные команды от имени `root` в экземплярах CasaOS. Эта проблема была решена путем улучшения проверки JWT в коммите `705bf1f`. Это исправление является частью CasaOS 0.4.4. Пользователям следует выполнить обновление до CasaOS 0.4.4. Если они не могут этого сделать, им следует временно ограничить доступ к CasaOS для ненадежных пользователей, например, не предоставляя его публично.
CVE-2023-37265CasaOS — это персональная облачная система с открытым исходным кодом. Из-за отсутствия проверки IP-адресов неаутентифицированные злоумышленники могут выполнять произвольные команды от имени `root` в экземплярах CasaOS. Проблема была решена путем улучшения обнаружения IP-адресов клиентов в `391dd7f`. Это исправление является частью CasaOS 0.4.4. Пользователям следует выполнить обновление до CasaOS 0.4.4. Если они не могут этого сделать, им следует временно ограничить доступ к CasaOS для ненадежных пользователей, например, не предоставляя его публично.
CVE-2022-24193В CasaOS до v0.2.7 обнаружена уязвимость, связанная с внедрением команд.
BDU:2023-07086Уязвимость компонента JWT Secret Handler облачной операционной системы CasaOS связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольные команды с привилегиями root
CVE-2023-37469CasaOS - это персональная облачная система с открытым исходным кодом. До версии 0.4.4, если аутентифицированный пользователь, использующий CasaOS, может успешно подключиться к контролируемому SMB-серверу, он может выполнять произвольные команды. Версия 0.4.4 содержит исправление для этой проблемы.
CVE-2024-28232Пакет Go IceWhaleTech/CasaOS-UserService предоставляет функции управления пользователями для CasaOS. На странице входа в Casa OS была обнаружена уязвимость перечисления имен пользователей на странице входа, которая была исправлена в версии 0.4.7. Эта проблема в CVE-2024-28232 была исправлена в версии 0.4.8, но эта версия еще не была загружена в менеджер пакетов Go.
CVE-2024-24766CasaOS-UserService предоставляет функции управления пользователями для CasaOS. Начиная с версии 0.4.4.3 и до версии 0.4.7 страница входа в Casa OS раскрывала уязвимость перечисления имен пользователей на странице входа. Злоумышленник может перечислить имена пользователей CasaOS, используя ответ приложения. Если имя пользователя неверно, приложение выдает ошибку `**User does not exist**`. Если пароль неверный, приложение выдает ошибку `**Invalid password**`. Версия 0.4.7 устраняет эту проблему.
CVE-2025-34171Версии CasaOS до 0.4.15 включительно раскрывают несколько неаутентифицированных конечных точек, которые позволяют удаленным злоумышленникам извлекать конфиденциальные файлы конфигурации и информацию об отладке системы. Конечной точкой /v1/users/image можно злоупотреблять параметром пути, управляемым пользователем, для доступа к файлам под /var/lib/casaos/1/, который раскрывает установленные приложения и детали конфигурации. Кроме того, /v1/sys/debug раскрывает информацию об основной операционной системе, ядре, оборудовании и информации о хранении. Конечные точки также возвращают различные сообщения об ошибках, что позволяет регистрировать произвольные пути в базовой файловой системе хоста. Это раскрытие информации может использоваться для разведки и для облегчения целенаправленных последующих атак на службы, развернутые на принимающенном месте.