CRITICAL🇬🇧 English

CVE-2024-23054

RCE w Plone Docker Official Image — brakujący pakiet npm (dependency confusion)

CVSS 9.8v3.1pub. 2024-02-05upd. 2026-07-05

Podatność w Plone Docker Official Image 5.2.13 umożliwia zdalne wykonanie kodu (RCE) na skutek brakującego pakietu w publicznym rejestrze npm. Atakujący może opublikować złośliwy pakiet pod tą samą nazwą i przejąć kontrolę nad środowiskiem.

Pokaż oryginał (EN)

An issue in Plone Docker Official Image 5.2.13 (5221) open-source software that could allow for remote code execution due to a package listed in ++plone++static/components not existing in the public package index (npm).

🤖 Analiza AI
Jak działa

Ścieżka ++plone++static/components odwołuje się do pakietu npm, który nie istnieje w publicznym indeksie pakietów (npm registry). Jest to klasyczny atak typu 'dependency confusion' (CWE-427 — uncontrolled search path element): jeśli zależność nie jest dostępna w prywatnym lub wewnętrznym źródle, menedżer pakietów może sięgnąć po pakiet o tej samej nazwie opublikowany w publicznym rejestrze. Atakujący może opublikować złośliwy pakiet pod brakującą nazwą, który zostanie automatycznie pobrany i wykonany w kontekście instalacji Plone.

Skutki

Skuteczne wykorzystanie podatności pozwala atakującemu na zdalne wykonanie dowolnego kodu (RCE) w środowisku uruchomieniowym kontenera Docker, co może prowadzić do pełnego przejęcia instancji, wycieku danych oraz dalszego lateral movement w infrastrukturze.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się zablokowanie możliwości rozwiązywania zależności npm z publicznego rejestru dla pakietów wewnętrznych oraz weryfikację wszystkich zależności wymienionych w konfiguracji statycznych komponentów Plone.

Kogo dotyczy

Plone Docker Official Image w wersji 5.2.13 (build 5221)

Uwagi

Szczegółowy opis techniczny i proof-of-concept dostępne są w repozytorium GitHub: https://github.com/c0d3x27/CVEs/blob/main/CVE-2024-23054/README.md

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Plone Docker Official Image

    APP
    Plone
    5.2.13
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEContainer
CWE
Referencje

Powiązane podatności

CVE-2024-23055MEDIUM6.1ten sam produkt

An issue in Plone Docker Official Image 5.2.13 (5221) open-source software allows for remote code execution vi...

CVE-2021-33509CRITICAL9.9ten sam vendor

Plone through 5.2.4 allows remote authenticated managers to perform disk I/O via crafted keyword arguments to ...

CVE-2020-35190CRITICAL9.8ten sam vendor

The official plone Docker images before version of 4.3.18-alpine (Alpine specific) contain a blank password fo...

CVE-2020-7941CRITICAL9.8ten sam vendor

A privilege escalation issue in plone.app.contenttypes in Plone 4.3 through 5.2.1 allows users to PUT (overwri...

CVE-2024-22889HIGH7.5ten sam vendor

Due to incorrect access control in Plone version v6.0.9, remote attackers can view and list all files hosted o...