PT-2020-1960 · Gulp · Gulp-Scss-Lint

Publicado

2020-02-15

Atualizado

2021-07-21

CVE-2020-7601

CVSS v2.0

Crítica

Vetor

AV:N/AC:L/Au:N/C:C/I:C/A:C

Nome do software vulnerável e versões afetadas

gulp-scss-lint versões 1.0.0 e anteriores

Descrição

A vulnerabilidade existe devido à falta de medidas para neutralizar elementos especiais utilizados no comando do sistema operacional. Isso permite que um invasor remoto execute comandos arbitrários injetando-os na função exec, localizada em src/command.js, por meio das opções fornecidas.

Recomendações

Para as versões 1.0.0 e anteriores, considere desativar a função exec em src/command.js até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao arquivo src/command.js para minimizar o risco de execução de comandos arbitrários. Evite usar a função exec com entradas não confiáveis para impedir a injeção de comandos.

Exploit

Correção

OS Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-78

Identificadores relacionados

BDU:2020-01258

CVE-2020-7601

GHSA-G4HJ-R7R3-9RWV

SNYK-JS-GULPSCSSLINT-560114

Produtos afetados

Gulp-Scss-Lint

PT-2020-1960 · Gulp · Gulp-Scss-Lint

CVE-2020-7601

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 8