Dos vulnerabilidades han sido encontradas en el plugin web de esta aplicación P2P. Ésta permite la ejecución de código arbitrario y la subida de archivos Torrent. El plugin no restringe el acceso a la funcionalidad de subida de archivos Torrent, y no revisa bien los parámetros que se le pasan como petición.
Un atacante remoto podría enviar parámetros “a medida” a la interface web que permitirían la subida remota de archivos Torrent y la ejecución de código con los privilegios del proceso KTorrent.
Deshabilitando el plugin de interface web solucionaríamos este problema aunque lo mejor sería actualizar a una versión que no presentara estos problemas de seguridad.
Más información aquí.
