Podatność w Plone Docker Official Image 5.2.13 umożliwia zdalne wykonanie kodu (RCE) na skutek brakującego pakietu w publicznym rejestrze npm. Atakujący może opublikować złośliwy pakiet pod tą samą nazwą i przejąć kontrolę nad środowiskiem.
▸ Pokaż oryginał (EN)
An issue in Plone Docker Official Image 5.2.13 (5221) open-source software that could allow for remote code execution due to a package listed in ++plone++static/components not existing in the public package index (npm).
Ścieżka ++plone++static/components odwołuje się do pakietu npm, który nie istnieje w publicznym indeksie pakietów (npm registry). Jest to klasyczny atak typu 'dependency confusion' (CWE-427 — uncontrolled search path element): jeśli zależność nie jest dostępna w prywatnym lub wewnętrznym źródle, menedżer pakietów może sięgnąć po pakiet o tej samej nazwie opublikowany w publicznym rejestrze. Atakujący może opublikować złośliwy pakiet pod brakującą nazwą, który zostanie automatycznie pobrany i wykonany w kontekście instalacji Plone.
Skuteczne wykorzystanie podatności pozwala atakującemu na zdalne wykonanie dowolnego kodu (RCE) w środowisku uruchomieniowym kontenera Docker, co może prowadzić do pełnego przejęcia instancji, wycieku danych oraz dalszego lateral movement w infrastrukturze.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się zablokowanie możliwości rozwiązywania zależności npm z publicznego rejestru dla pakietów wewnętrznych oraz weryfikację wszystkich zależności wymienionych w konfiguracji statycznych komponentów Plone.
Plone Docker Official Image w wersji 5.2.13 (build 5221)
Szczegółowy opis techniczny i proof-of-concept dostępne są w repozytorium GitHub: https://github.com/c0d3x27/CVEs/blob/main/CVE-2024-23054/README.md
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HPlone Docker Official Image
APPPlone5.2.13
Powiązane podatności
An issue in Plone Docker Official Image 5.2.13 (5221) open-source software allows for remote code execution vi...
Plone through 5.2.4 allows remote authenticated managers to perform disk I/O via crafted keyword arguments to ...
The official plone Docker images before version of 4.3.18-alpine (Alpine specific) contain a blank password fo...
A privilege escalation issue in plone.app.contenttypes in Plone 4.3 through 5.2.1 allows users to PUT (overwri...
Due to incorrect access control in Plone version v6.0.9, remote attackers can view and list all files hosted o...