Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Vulnerabilidades críticas descubiertas en el software de código abierto CasaOS Cloud
  • Tecnología

Vulnerabilidades críticas descubiertas en el software de código abierto CasaOS Cloud

teknomers 17 de Ekim de 2023 (Last updated: 17 de Ekim de 2023) 2 minutes read
Vulnerabilidades críticas descubiertas en el software de código abierto CasaOS


17 de octubre de 2023Sala de redacciónVulnerabilidad/amenaza cibernética

Dos fallos de seguridad críticos descubiertos en el código abierto CasaOS Los atacantes podrían explotar con éxito el software de la nube personal para lograr la ejecución de código arbitrario y apoderarse de sistemas vulnerables.

Las vulnerabilidades, rastreadas como CVE-2023-37265 y CVE-2023-37266ambos tienen una puntuación CVSS de 9,8 sobre un máximo de 10.

El investigador de seguridad de Sonar, Thomas Chauchefoin, quien descubrió los errores, dicho “permiten a los atacantes eludir los requisitos de autenticación y obtener acceso completo al panel de CasaOS”.

La seguridad cibernética

Aún más preocupante, el soporte de CasaOS para aplicaciones de terceros podría usarse como arma para ejecutar comandos arbitrarios en el sistema para obtener acceso persistente al dispositivo o acceder a redes internas.

Tras la divulgación responsable el 3 de julio de 2023, las fallas se abordaron en versión 0.4.4 publicado por sus mantenedores IceWhale el 14 de julio de 2023.

Una breve descripción de los dos defectos es la siguiente:

  • CVE-2023-37265 – Identificación incorrecta de la dirección IP de origen, lo que permite a atacantes no autenticados ejecutar comandos arbitrarios como root en instancias de CasaOS.
  • CVE-2023-37265 – Los atacantes no autenticados pueden crear tokens web JSON arbitrarios (JWT) y acceder a funciones que requieren autenticación y ejecutar comandos arbitrarios como root en instancias de CasaOS

Una consecuencia de la explotación exitosa de las fallas antes mencionadas podría permitir a los atacantes eludir las restricciones de autenticación y obtener privilegios administrativos en instancias vulnerables de CasaOS.

La seguridad cibernética

“En general, la identificación de direcciones IP en la capa de aplicación es propensa a riesgos y no se debe confiar en ella para tomar decisiones de seguridad”, dijo Chauchefoin.

“Muchos encabezados diferentes pueden transportar esta información (X-Fordered-For, Forwarded, etc.), y las API del lenguaje a veces necesitan interpretar los matices del protocolo HTTP de la misma manera. De manera similar, todos los marcos tienen sus propias peculiaridades y pueden ser complicados. navegar sin conocimientos expertos de estas armas de seguridad comunes”.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Detenidos 45 inmigrantes ilegales, sólo uno rechazado
Next: Clínica atacada en Gaza: Abbas declara tres días de luto nacional

Related Stories

Inversiones ficticias, fraude al presidente... una red desmantelada de 140
  • Tecnología

Inversiones ficticias, fraude al presidente… una red desmantelada de 140 millones de euros

teknomers 16 de Temmuz de 2026
Disney reclamaba 16 millones de euros a este técnico del
  • Tecnología

Disney reclamaba 16 millones de euros a este técnico del sitio pirata Uptobox, la justicia francesa da su veredicto

teknomers 16 de Temmuz de 2026
Starlink V5 está disponible: aquí están todas las mejoras frente
  • Tecnología

Starlink V5 está disponible: aquí están todas las mejoras frente a la V4

teknomers 16 de Temmuz de 2026

You May Have Missed

Sexualidad: after care, por qué el "después" importa tanto
  • salud

Sexualidad: after care, por qué el “después” importa tanto

teknomers 16 de Temmuz de 2026
El ejército estadounidense quiere medir el nivel de testosterona de
  • Entretenimiento

El ejército estadounidense quiere medir el nivel de testosterona de sus soldados para “optimizar sus capacidades”

teknomers 16 de Temmuz de 2026
  • AI

Premios a los Productos de IA Más Innovadores de ET 2026: Los cuatro problemas empresariales que realmente resuelve cada producto de IA para empresas

teknomers 16 de Temmuz de 2026
  • General

Brasil se convierte en el primer objetivo de los nuevos derechos de aduana estadounidenses

teknomers 16 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.