PT-2020-21555 · Unknown · Wizard-Syncronizer

Publicado

2020-09-11

·

Atualizado

2020-09-11

Nenhuma

Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do software vulnerável e versões afetadas
Versões do wizard-syncronizer (todas)
Descrição
A vulnerabilidade diz respeito a um problema de injeção de comando. Ela ocorre porque a função cloneAndSync não valida a entrada e a concatena a uma chamada exec. Isso pode ser explorado por meio de um widget malicioso com uma carga útil no valor gitURL ou por meio de um ataque Man-In-The-Middle (MITM), já que o pacote não impõe o uso de HTTPS. Isso poderia permitir que invasores executassem comandos arbitrários do sistema.
Recomendações
Para todas as versões, considere usar um módulo alternativo até que uma correção seja disponibilizada.

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

GHSA-WGW3-GF4P-62XC

Produtos afetados

Wizard-Syncronizer