PT-2020-19648 · Node.Js · Node-Prompt-Here
Publicado
2020-03-15
·
Atualizado
2021-07-21
·
CVE-2020-7602
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
node-prompt-here, versões 1.0.0 a 1.0.1
Descrição
A vulnerabilidade permite a execução de comandos arbitrários. A função
runCommand() é chamada pela função getDevices() no arquivo linux/manager.js, que é solicitada pelo processo index.js usando process.env.NM CLI. Essa função constrói o argumento para a função execSync(), que pode ser controlada pelos usuários sem qualquer sanitização.Recomendações
Para as versões 1.0.0 a 1.0.1 do node-prompt-here, considere desativar a função
runCommand() até que um patch esteja disponível para impedir a execução de comandos arbitrários. Restrinja o acesso à função execSync() para minimizar o risco de exploração. Evite usar a variável process.env.NM CLI no arquivo index.js afetado até que a vulnerabilidade seja resolvida.Exploit
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Node-Prompt-Here