Podatność w aplikacji Jan v0.4.12 pozwala nieuwierzytelnionemu atakującemu na przesłanie dowolnego pliku przez interfejs API, co prowadzi do zdalnego wykonania kodu (RCE). Ze względu na brak wymagań uwierzytelnienia i sieciowy wektor ataku zagrożenie jest oceniane jako krytyczne.
▸ Pokaż oryginał (EN)
An arbitrary file upload vulnerability in the /v1/app/appendFileSync interface of Jan v0.4.12 allows attackers to execute arbitrary code via uploading a crafted file.
Endpoint /v1/app/appendFileSync nie weryfikuje w odpowiedni sposób przesyłanych plików, co klasyfikuje podatność jako CWE-434 (Unrestricted Upload of File with Dangerous Type) oraz CWE-94 (Code Injection). Atakujący może przesłać spreparowany plik (np. skrypt wykonywalny lub plik konfiguracyjny), który następnie jest przetwarzany przez serwer w sposób umożliwiający wykonanie zawartego w nim kodu. Atak nie wymaga żadnego uwierzytelnienia ani interakcji ze strony użytkownika.
Skuteczne wykorzystanie podatności daje atakującemu pełną kontrolę nad systemem — możliwe jest wykonanie dowolnego kodu z uprawnieniami procesu aplikacji, co może prowadzić do naruszenia poufności, integralności oraz dostępności danych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami i zaktualizować aplikację Jan do wersji nowszej niż 0.4.12. Dodatkowo zaleca się ograniczenie dostępu sieciowego do interfejsów API aplikacji Jan wyłącznie do zaufanych hostów (np. za pomocą firewall lub listy kontroli dostępu).
Jan v0.4.12 (Homebrew Jan)
Szczegóły techniczne i proof-of-concept zostały opublikowane przez badacza HackAllSec w repozytorium GitHub: https://github.com/HackAllSec/CVEs/tree/main/Jan%20Arbitrary%20File%20Upload%20vulnerability. Dostępność publicznego materiału PoC zwiększa ryzyko wykorzystania podatności.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HHomebrew Jan
APPHomebrew0.4.12