CVE-2022-24441

Versões do Snyk anteriores à 1.1064.0

Versões do VS Code anteriores à 1.9.0

Versões do IntelliJ anteriores à 2.4.48

Versões do Visual Studio anteriores à 1.1.31

Versões do Eclipse anteriores à v20221115.132308

Versões do Language Server anteriores à v20221109.114426

A vulnerabilidade permite a injeção de código durante a análise de um projeto. Um invasor pode incluir comandos em um arquivo de compilação, como build.gradle ou gradle-wrapper.jar, que serão executados com os privilégios do aplicativo. Isso pode ser acionado ao executar a ferramenta CLI diretamente ou ao realizar uma verificação com um dos plug-ins de IDE que invocam a CLI do Snyk. A exploração bem-sucedida provavelmente exigiria algum nível de engenharia social para forçar o download e a análise de um projeto não confiável. Se o IDE tiver um recurso de confiança, a pasta de destino deve ser marcada como “confiável” para que haja vulnerabilidade.

Para versões do Snyk anteriores à 1.1064.0, atualize para a versão 1.1064.0 ou posterior.

Para versões do VS Code anteriores à 1.9.0, atualize para a versão 1.9.0 ou posterior.

Para versões do IntelliJ anteriores à 2.4.48, atualize para a versão 2.4.48 ou posterior.

Para versões do Visual Studio anteriores à 1.1.31, atualize para a versão 1.1.31 ou posterior.

Para versões do Eclipse anteriores à v20221115.132308, atualize para uma versão posterior.

Para versões do Language Server anteriores à v20221109.114426, atualize para uma versão posterior.

Como solução alternativa temporária, considere restringir o uso da CLI do Snyk ou dos plug-ins de IDE para minimizar o risco de exp