Willem Jiang

Nome do Software Vulnerável e Versões Afetadas ByteDance Deer-Flow versões anteriores ao commit 92c7a20 Descrição As versões do ByteDance Deer-Flow anteriores ao commit 92c7a20 contêm uma vulnerabilidade de escape de sandbox no tratamento de ferramentas bash. Isso permite que invasores executem comandos arbitrários no sistema host, ignorando a validação baseada em regex usando recursos do shell, como alterações de diretório e caminhos relativos. Os invasores podem explorar a modelagem incompleta da semântica do shell para ler e modificar arquivos fora do limite do sandbox e alcançar a execução arbitrária de comandos por meio da invocação de subprocessos com interpretação de shell habilitada. Recomendações Atualize o ByteDance Deer-Flow para o commit 92c7a20 ou posterior.

**Nome do software vulnerável e versões afetadas** ServiceComb ServiceCenter, versões 1.x.x a 1.x.x **Descrição** O problema é causado por uma configuração incorreta, levando a uma vulnerabilidade de traversal de diretório no ServiceCenter. Não há dados disponíveis sobre o número estimado de dispositivos potencialmente afetados em todo o mundo. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. Os detalhes técnicos sobre a exploração incluem o fato de que uma configuração inadequada pode causar o problema. **Recomendações** Para as versões 1.x.x, atualize para a versão 2.0.0 para resolver o problema. No momento, não há outras informações sobre medidas de mitigação adicionais.