Unknown · Owasp Dep-Scan · CVE-2024-50611
Nome do software vulnerável e versões afetadas:
Versões do CycloneDX cdxgen anteriores à 11.1.7
Descrição:
A vulnerabilidade permite a execução de código contido em arquivos relacionados à compilação, como `build.gradle.kts`, quando executados em uma base de código não confiável. Isso é semelhante a uma vulnerabilidade identificada anteriormente. A ferramenta `cdxgen` é utilizada por diversos aplicativos, incluindo o OWASP dep-scan. Observou-se que se trata de uma limitação de projeto, e não de um erro de implementação.
Recomendações:
Para versões anteriores à 11.1.7, atualize para a versão 11.1.7 ou posterior, que introduz um “modo seguro” que utiliza permissões do Node.js para controlar o acesso a recursos, limitando o acesso a arquivos e a execução de processos.