CVE-2025-24786

CRÍTIC (10,0)

CVSS3: 0,0

WhoDB és una eina de gestió de bases de dades de codi obert. Tot i que l’aplicació només mostra les bases de dades Sqlite3 presents al directori `/db`, no hi ha cap prevenció de salt de directori. Això permet que un atacant no autenticat obri qualsevol base de dades Sqlite3 present a la màquina host on s’executa l’aplicació. Les versions afectades de WhoDB permeten que els usuaris es connectin a bases de dades Sqlite3. Per defecte, les bases de dades han d’estar presents a `/db/` (o alternativament `./tmp/` si el mode de desenvolupament està habilitat).

Sistemes Afectats

• clidey whodb – < 0.45.0

Remediació
No hi ha cap recurs disponible a partir del 6 de febrer del 2025.

Referències

• https://github.com/clidey/whodb/security/advisories/GHSA-9r4c-jwx3-3j76
• https://github.com/clidey/whodb/blob/ba6eb81d0ca40baead74bca58b2567166999d6a6/core/src/plugins/sqlite3/db.go#L14-L20
• https://github.com/clidey/whodb/blob/ba6eb81d0ca40baead74bca58b2567166999d6a6/core/src/plugins/sqlite3/db.go#L26