CVE-2024-52010

Zoraxy is a general purpose HTTP reverse proxy and forwarding tool. A command injection vulnerability in the Web SSH feature allows an authenticated attacker to execute arbitrary commands as root on the host. Zoraxy has a Web SSH terminal feature that allows authenticated users to connect to SSH servers from their browsers. In HandleCreateProxySession the request to create an SSH session is handled. An attacker can exploit the username variable to escape from the bash command and inject arbitrary commands into sshCommand. This is possible, because, unlike hostname and port, the username is not validated or sanitized.
CVSS

No CVSS.

Configurations

No configuration.

History

21 Nov 2024, 17:15

Type Values Removed Values Added
CVSS v2 : unknown
v3 : 0.0
v2 : unknown
v3 : unknown

13 Nov 2024, 17:01

Type Values Removed Values Added
Summary
  • (es) Zoraxy es una herramienta de reenvío y proxy inverso HTTP de propósito general. Una vulnerabilidad de inyección de comandos en la función Web SSH permite a un atacante autenticado ejecutar comandos arbitrarios como superusuario en el host. Zoraxy tiene una función de terminal Web SSH que permite a los usuarios autenticados conectarse a servidores SSH desde sus navegadores. En HandleCreateProxySession se maneja la solicitud para crear una sesión SSH. Un atacante puede explotar la variable de nombre de usuario para escapar del comando bash e inyectar comandos arbitrarios en sshCommand. Esto es posible porque, a diferencia del nombre de host y el puerto, el nombre de usuario no se valida ni se desinfecta.

12 Nov 2024, 19:35

Type Values Removed Values Added
CVSS v2 : unknown
v3 : unknown
v2 : unknown
v3 : 0.0

12 Nov 2024, 17:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-11-12 17:15

Updated : 2024-11-21 17:15


NVD link : CVE-2024-52010

Mitre link : CVE-2024-52010

CVE.ORG link : CVE-2024-52010


JSON object : View

Products Affected

No product.

CWE
CWE-78

Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')