Vulnerabilidad en Pterodactyl (CVE-2024-49762)

Pterodactyl es un panel de administración de servidores de juegos gratuito y de código abierto. Cuando un usuario desactiva la autenticación de dos factores a través del Panel, se enviará una solicitud `DELETE` con su contraseña actual en un parámetro de consulta. Si bien los parámetros de consulta se cifran cuando se usa TLS, muchos servidores web (incluidos los documentados oficialmente para su uso con Pterodactyl) registrarán los parámetros de consulta en texto plano, almacenando la contraseña de un usuario en texto plano. Antes de la versión 1.11.8, si un usuario malintencionado obtiene acceso a estos registros, podría autenticarse contra la cuenta de un usuario; suponiendo que pueda descubrir la dirección de correo electrónico o el nombre de usuario de la cuenta por separado. Este problema se ha corregido en la versión 1.11.8. No hay workarounds en este momento. No existe una vulnerabilidad directa dentro del software en lo que respecta a los registros generados por componentes intermedios como servidores web o servidores proxy de capa 7. Actualizar a `v1.11.8` o agregar el parche vinculado manualmente son las únicas formas de evitar este problema. Como esta vulnerabilidad está relacionada con el registro histórico de datos confidenciales, los usuarios que alguna vez hayan desactivado la autenticación de dos factores en un panel (alojado por ellos mismos o gestionado por una empresa) deberían cambiar sus contraseñas y considerar la posibilidad de activar la autenticación de dos factores si la dejaron desactivada. Si bien es poco probable que su cuenta se vea comprometida por esta vulnerabilidad, no es imposible. Los administradores del panel deberían considerar la posibilidad de borrar los registros de acceso que puedan contener datos confidenciales.