PT-2022-14910 · Npm · @Acrontum/Filesystem-Template

Feng Xiao

Publicado

2022-08-05

Atualizado

2023-08-08

CVE-2022-21186

CVSS v3.1

9.8

Crítica

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Nome do software vulnerável e versões afetadas

Versões anteriores à 0.0.2 do @acrontum/filesystem-template

Descrição

O problema está relacionado à injeção arbitrária de comandos, devido à falta de sanitização do campo href de entradas externas na API fetchRepo. Isso permite possíveis ataques de injeção de comandos.

Recomendações

Para versões anteriores à 0.0.2, atualize para a versão 0.0.2 ou posterior para resolver o problema. Como solução temporária, considere desativar a API fetchRepo ou restringir o acesso a ela até que um patch esteja disponível. Evite usar o campo href no endpoint da API afetada até que o problema seja resolvido.

Exploit

Correção

Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-77

Identificadores relacionados

CVE-2022-21186

GHSA-M2FC-9H5M-29CM

Produtos afetados

@Acrontum/Filesystem-Template

PT-2022-14910 · Npm · @Acrontum/Filesystem-Template

CVE-2022-21186

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 10