Beschreibung

Eine Schwachstelle, bei der Angreifer HTTP-Anfragen fälschen konnten, um das Datenverzeichnis `charm` zu manipulieren, um auf etwas auf dem Server zuzugreifen oder es zu löschen. Diese Schwachstelle wurde gepatcht und ist in der Version [v0.12.1] (https://github.com/charmbracelet/charm/releases/tag/v0.12.1) verfügbar. Wir empfehlen allen Benutzern, die selbst gehostete `charm`-Instanzen betreiben, ein sofortiges Update. Diese Schwachstelle wurde intern gefunden und es wurden uns keine potentiellen Angreifer gemeldet. ### Zusätzliche Hinweise * Verschlüsselte Benutzerdaten, die auf den Charm-Server hochgeladen werden, sind sicher, da Charm-Server Benutzerdaten nicht entschlüsseln können. Dazu gehören Dateinamen, Pfade und alle Schlüsselwertdaten. * Benutzer, die die offiziellen Charm-[Docker-Images] (https://github.com/charmbracelet/charm/blob/main/docker.md) verwenden, sind nur minimal gefährdet, da sich die Schwachstelle auf das containerisierte Dateisystem beschränkt.

Referenzen

https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2022-29180

https://nvd.nist.gov/vuln/detail/cve-2022-29180

https://www.cvedetails.com/cve/cve-2022-29180/

https://www.tenable.com/cve/cve-2022-29180

https://vulmon.com/searchpage?q=cve-2022-29180

https://vulners.com/ubuntucve/UB:cve-2022-29180

Zurück zur Übersicht