PT-2021-15460 · Unknown · Portkiller
Omnitaint
·
Publicado
2021-03-18
·
Atualizado
2022-07-12
·
CVE-2021-23359
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Todas as versões do port-killer
Descrição
A vulnerabilidade permite que um invasor execute comandos arbitrários caso seja fornecida uma entrada de usuário controlada por ele. Isso se deve ao uso da função
child process exec sem sanitização de entrada. Por exemplo, a execução de uma prova de conceito fará com que o comando touch success seja executado, levando à criação de um arquivo chamado success.Recomendações
Para todas as versões, considere desativar o uso da função
child process exec até que um patch esteja disponível. Restrinja o acesso à entrada do usuário para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
Command Injection
RCE
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Portkiller