PT-2020-5479 · Apache+1 · Apache Ant+1

Publicado

2020-09-30

·

Atualizado

2024-06-15

·

CVE-2020-11979

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:C/A:N
Nome do software vulnerável e versões afetadas
Versões do Apache Ant anteriores à 1.10.8
Descrição
A vulnerabilidade está relacionada à implementação da classe fixcrlf no Apache Ant, utilizada para automatizar o processo de compilação de produtos de software. Ela envolve uma limpeza insuficiente de elementos especiais nos dados de saída utilizados por um componente de entrada. Isso poderia permitir que um invasor remoto obtivesse acesso não autorizado a informações protegidas. A exploração desse problema pode permitir que um invasor injete arquivos-fonte modificados no processo de compilação.
Recomendações
Para versões do Apache Ant anteriores à 1.10.8, atualize para a versão 1.10.8 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso a arquivos temporários criados pela tarefa fixcrlf para minimizar o risco de exploração.

Correção

Code Injection

Special Elements Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-379CWE-94CWE-74

Identificadores relacionados

BDU:2021-00774
BIT-GRADLE-2020-11979
CVE-2020-11979
GHSA-F62V-XPXF-3V68
GHSA-J45W-QRGF-25VM
MGASA-2021-0173
OPENSUSE-SU-2024:10616-1
RHSA-2021:0423
RHSA-2021:0429
RHSA-2021:0637
SUSE-SU-2022:4022-1
SUSE-SU-2022_4022-1

Produtos afetados

Apache Ant
Suse