PT-2022-23156 · Poetry · Poetry
Paul Gerste
·
Publicado
2022-09-07
·
Atualizado
2026-05-04
·
CVE-2022-36069
CVSS v3.1
7.3
Alta
| Vetor | AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Poetry anteriores à 1.1.9
Versões do Poetry anteriores à 1.2.0b1
Descrição
O Poetry é um gerenciador de dependências para Python que utiliza vários comandos, como
git clone, ao lidar com dependências de um repositório Git. Os comandos são construídos com base na entrada do usuário e, embora o Poetry evite vulnerabilidades de injeção de comando passando uma matriz de argumentos, existe a possibilidade de que a entrada do usuário que comece com um traço (-) seja tratada como um argumento opcional, levando à execução de código. Isso pode ocorrer porque alguns comandos possuem opções que podem ser aproveitadas para executar executáveis arbitrários. Se um desenvolvedor for explorado, o invasor poderá roubar credenciais ou manter seu acesso. A exploração ainda pode funcionar mesmo quando a vítima tenta garantir a segurança verificando os arquivos de configuração.Recomendações
Para versões anteriores à 1.1.9, atualize para a versão 1.1.9 ou posterior.
Para versões anteriores à 1.2.0b1, atualize para a versão 1.2.0b1 ou posterior.
Como solução temporária, considere restringir o uso do comando
git clone com URLs de repositórios não confiáveis até que um patch seja aplicado.Exploit
Correção
Code Injection
Argument Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Poetry