CVE-2024-41954

FOG is a cloning/imaging/rescue suite/inventory management system. The application stores plaintext service account credentials in the "/opt/fog/.fogsettings" file. This file is by default readable by all users on the host. By exploiting these credentials, a malicious user could create new accounts for the web application and much more. The vulnerability is fixed in 1.5.10.41.
Configurations

Configuration 1 (hide)

cpe:2.3:a:fogproject:fogproject:*:*:*:*:*:*:*:*

History

05 Sep 2024, 16:18

Type Values Removed Values Added
CPE cpe:2.3:a:fogproject:fogproject:*:*:*:*:*:*:*:*
References () https://github.com/FOGProject/fogproject/commit/97ed6d51608e52fc087ca1d2f03d6b8df612fc90 - () https://github.com/FOGProject/fogproject/commit/97ed6d51608e52fc087ca1d2f03d6b8df612fc90 - Patch
References () https://github.com/FOGProject/fogproject/security/advisories/GHSA-pcqm-h8cx-282c - () https://github.com/FOGProject/fogproject/security/advisories/GHSA-pcqm-h8cx-282c - Exploit, Vendor Advisory
First Time Fogproject fogproject
Fogproject
CVSS v2 : unknown
v3 : 5.3
v2 : unknown
v3 : 7.8

01 Aug 2024, 12:42

Type Values Removed Values Added
Summary
  • (es) FOG es un sistema de gestión de inventario, clonación, imágenes, suite de rescate. La aplicación almacena las credenciales de la cuenta de servicio en texto plano en el archivo "/opt/fog/.fogsettings". Este archivo es legible de forma predeterminada por todos los usuarios del host. Al explotar estas credenciales, un usuario malintencionado podría crear nuevas cuentas para la aplicación web y mucho más. La vulnerabilidad se solucionó en 1.5.10.41.

31 Jul 2024, 20:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-07-31 20:15

Updated : 2024-09-05 16:18


NVD link : CVE-2024-41954

Mitre link : CVE-2024-41954

CVE.ORG link : CVE-2024-41954


JSON object : View

Products Affected

fogproject

  • fogproject
CWE
CWE-732

Incorrect Permission Assignment for Critical Resource