CVE-2023-30856
eDEX-UI cross-site websocket hijacking vulnerability enables remote command execution
Em resumo
O eDEX-UI, um emulador de terminal, tem uma falha que permite que sites maliciosos se conectem ao seu sistema de controle interno e executem comandos prejudiciais no seu computador enquanto você navega na web. Isso é grave porque pode dar aos invasores acesso direto ao seu sistema.
Detalhe técnico
Vulnerabilidade de cross-site WebSocket hijacking no eDEX-UI versões ≤2.2.8 permite execução remota de comandos não autenticada através de um site malicioso que estabelece conexão com o endpoint WebSocket interno desprotegido. A vulnerabilidade requer que a vítima visite o site do atacante enquanto o eDEX-UI está em execução, explorando validação insuficiente de CORS/origem no manipulador WebSocket.
Resumo gerado e traduzido por IA a partir da descrição oficial.
eDEX-UI is a science fiction terminal emulator. Versions 2.2.8 and prior are vulnerable to cross-site websocket hijacking. When running eDEX-UI and browsing the web, a malicious website can connect to eDEX's internal terminal control websocket, and send arbitrary commands to the shell. The project has been archived since 2021, and as of time of publication there are no plans to patch this issue and release a new version. Some workarounds are available, including shutting down eDEX-UI when browsing the web and ensuring the eDEX terminal runs with lowest possible privileges.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L
Produtos afetados
GitSquared · edex-uiQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →