Aplikacja Heimdall w wersjach przed 2.5.7 nie waliduje poprawnie zawartości plików graficznych używanych jako ikony, co pozwala na przesłanie pliku zawierającego kod PHP. Jest to podatność krytyczna, umożliwiająca atakującemu zdalne wykonanie kodu na serwerze.
▸ Pokaż oryginał (EN)
LinuxServer.io Heimdall before 2.5.7 does not prevent use of icons that have non-image data such as the "<?php ?>" substring.
Aplikacja Heimdall nie sprawdza, czy przesłany plik ikony zawiera wyłącznie dane obrazu. Atakujący może przesłać plik zawierający osadzony kod PHP (np. substring '<?php ?>') jako ikonę aplikacji. Serwer, interpretując taki plik jako skrypt PHP, może wykonać zawarty w nim złośliwy kod. Podatność wynika z braku filtrowania niedozwolonej zawartości w przesyłanych plikach (CWE-674 — nieprawidłowa rekurencja lub nieprawidłowe przetwarzanie danych wejściowych).
Atakujący może uzyskać zdalne wykonanie kodu (RCE) na serwerze hostującym aplikację Heimdall, co w praktyce oznacza pełne przejęcie kontroli nad środowiskiem serwera — naruszenie poufności, integralności oraz dostępności systemu.
Należy zaktualizować aplikację Heimdall do wersji 2.5.7 lub nowszej, w której wprowadzono walidację przesyłanych plików ikon. Szczegóły dostępne w oficjalnym wydaniu: https://github.com/linuxserver/Heimdall/releases/tag/v2.5.7
LinuxServer.io Heimdall w wersjach wcześniejszych niż 2.5.7
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H