PT-2022-10317 · Google-It · Google-It
Publicado
2022-06-01
·
Atualizado
2022-06-09
·
CVE-2021-34083
CVSS v2.0
9.3
Alta
| Vetor | AV:N/AC:M/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do google-it até a 1.6.2
Descrição
O problema ocorre ao usar a opção “Abrir no navegador”, na qual o google-it concatena de forma insegura o link do resultado obtido do Google a um comando de shell. Isso expõe potencialmente o servidor à execução remota de código (RCE).
Recomendações
Para versões até 1.6.2, atualize para uma versão superior a 1.6.2 para resolver o problema. Como solução temporária, considere desativar a opção “Abrir no navegador” até que um patch esteja disponível. Restrinja o acesso à funcionalidade de comando shell para minimizar o risco de exploração.
Exploit
Correção
Special Elements Injection
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Google-It