CVE-2021-41569

SAS/Intrnet versões 9.4 build 1520 e anteriores

A vulnerabilidade permite a inclusão de arquivos locais. A biblioteca de exemplos, incluída por padrão no arquivo appstart.sas, permite que os usuários finais acessem o programa sample.webcsf1.sas. Esse programa contém variáveis de macro controladas pelo usuário passadas para a macro DS2CSF. Os usuários podem escapar do contexto da variável configurada e controlável pelo usuário e anexar funções adicionais nativas da macro, mas não incluídas como variáveis na biblioteca. Isso inclui uma função que recupera arquivos do sistema operacional do host.

Para as versões 9.4 build 1520 e anteriores do SAS/Internet, considere desativar o acesso ao programa sample.webcsf1.sas até que um patch esteja disponível. Restrinja o uso da macro DS2CSF para minimizar o risco de exploração. Evite usar variáveis de macro controladas pelo usuário na biblioteca afetada para impedir a fuga do contexto da variável configurada. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.