PT-2021-15656 · Facebook · React-Dev-Utils
Zpbrent
·
Publicado
2021-03-09
·
Atualizado
2021-03-16
·
CVE-2021-24033
CVSS v2.0
6.8
Média
| Vetor | AV:N/AC:M/Au:N/C:P/I:P/A:P |
**Nome do software vulnerável e versões afetadas:
Versões do react-dev-utils anteriores à 11.0.4
Descrição:
O problema diz respeito a uma função,
getProcessForPort, na qual um argumento de entrada é concatenado a uma string de comando a ser executada. Essa função é normalmente utilizada a partir do react-scripts em projetos Create React App, onde o uso é seguro. No entanto, quando essa função é invocada manualmente com valores fornecidos pelo usuário, existe o risco de injeção de comando. Se a função for utilizada a partir do react-scripts, este problema não afeta o usuário.Recomendações:
Para versões do react-dev-utils anteriores à 11.0.4, como solução temporária, considere evitar a invocação manual da função
getProcessForPort com valores fornecidos pelo usuário até que um patch esteja disponível.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
React-Dev-Utils