PT-2021-15461 · Killport · Killport
Omnitaint
·
Publicado
2021-03-21
·
Atualizado
2021-04-13
·
CVE-2021-23360
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do killport anteriores à 1.0.2
Descrição
A vulnerabilidade permite que um invasor execute comandos arbitrários caso seja fornecida uma entrada de usuário controlada pelo invasor. Isso ocorre devido ao uso da função exec do child process sem sanitização de entrada. Por exemplo, a execução de uma prova de conceito fará com que o comando
touch success seja executado, levando à criação de um arquivo chamado success.Recomendações
Para versões anteriores à 1.0.2, atualize para a versão 1.0.2 ou posterior para resolver o problema. Como solução temporária, considere desativar o uso da função exec do child process até que um patch esteja disponível. Restrinja o acesso à entrada do usuário para minimizar o risco de exploração. Evite usar entradas do usuário não sanitizadas na função afetada até que o problema seja resolvido.
Exploit
Correção
Command Injection
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Killport