ГлавнаяБаза уязвимостей БДУ → BDU:2024-06140
8.7высокая

BDU:2024-06140 (CVE-2024-41637)

Уязвимость файла restapi.service (/lib/systemd/system/restapi.service) программного обеспечения для создания беспроводных маршрутизаторов на базе Debian RaspAP, позволяющая нарушителю повысить свои привилегии и выполнить произвольные команды
Опубликовано: 2024-08-09
Описание

Уязвимость файла restapi.service (/lib/systemd/system/restapi.service) программного обеспечения для создания беспроводных маршрутизаторов на базе Debian RaspAP связана с непринятием мер по нейтрализации специальных элементов, используемых в команде в результате недостаточного разграничения доступа пользователей группы www-data. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии и выполнить произвольные команды

Затрагиваемое ПО и версии
RaspAP (до 3.1.5)
Способ устранения

Использование рекомендаций:
https://github.com/RaspAP/raspap-webgui/pull/1630/commits/4afd67f0b0ed0e278ee2fc6cb30ee6dbe2f979ce
https://github.com/RaspAP/raspap-webgui/releases/tag/3.1.5

Компенсирующие меры:
Следует запретить доступ к файлу restapi.service (/lib/systemd/system/restapi.service) пользувателям группы www-data с целью его модификации.

Оценка CVSS
Балл8.7 — высокая опасность
Источники и патчи
https://blog.0xzon.dev/2024-07-27-CVE-2024-41637/https://github.com/RaspAP/raspap-webguihttps://asec.ahnlab.com/en/82193/
Проверьте безопасность своего сайта и почты → Полная проверка домена