PT-2020-19655 · Fsa · Fsa
Publicado
2020-04-07
·
Atualizado
2021-12-09
·
CVE-2020-7615
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do fsa até a 0.5.1
Descrição
A vulnerabilidade permite a injeção de comandos. A função
execGitCommand(), especificamente seu primeiro argumento localizado em lib/rep.js#63, pode ser controlada por usuários sem a devida sanitização, possibilitando a injeção de comandos arbitrários.Recomendações
Para versões até 0.5.1, como solução temporária, considere desativar a função
execGitCommand() até que um patch esteja disponível. Restrinja o acesso ao módulo lib/rep.js para minimizar o risco de exploração. Evite usar o primeiro argumento de execGitCommand() até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.Exploit
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fsa