PT-2021-14455 · Nimble+3 · Nimble+3

Federico Ceratto

Publicado

2021-03-26

Atualizado

2024-06-15

CVE-2021-21372

CVSS v3.1

8.8

Alta

Vetor

AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Nome do software vulnerável e versões afetadas

Versões do Nim anteriores à 1.2.10

Versões do Nim anteriores à 1.4.4

Descrição

O problema diz respeito ao Nimble, um gerenciador de pacotes para a linguagem de programação Nim. Nas versões afetadas, o comando doCmd do Nimble pode ser explorado para executar comandos arbitrários. Um invasor pode criar uma entrada maliciosa na lista de pacotes packages.json para acionar a execução de código.

Recomendações

Para versões anteriores à 1.2.10, atualize para a versão 1.2.10 ou posterior.

Para versões anteriores à 1.4.4, atualize para a versão 1.4.4 ou posterior.

Exploit

Correção

Special Elements Injection

OS Command Injection

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-74CWE-78CWE-20

Identificadores relacionados

ALT-PU-2021-1770

CVE-2021-21372

GHSA-RG9F-W24H-962P

OPENSUSE-SU-2021:0618-1

OPENSUSE-SU-2021:0628-1

OPENSUSE-SU-2021_0618-1

OPENSUSE-SU-2022:10095-1

OPENSUSE-SU-2022:10101-1

OPENSUSE-SU-2024:11093-1

Produtos afetados

Alt Linux

Nim

Nimble

Suse

PT-2021-14455 · Nimble+3 · Nimble+3

CVE-2021-21372

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 42