PT-2022-24057 · Unknown · Pebble Templates
Y4Tacker
·
Publicado
2022-09-12
·
Atualizado
2024-08-03
·
CVE-2022-37767
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Pebble Templates versão 3.1.5
Descrição
A vulnerabilidade permite que invasores contornem um mecanismo de proteção e executem código arbitrário com o springbok. Observa-se que o fornecedor contesta isso, pois a entrada no mecanismo de modelagem Pebble tem como objetivo incluir código Java arbitrário. O fornecedor sugere que a entrada não deve provir de uma fonte não confiável ou, caso contrário, o aplicativo que utiliza o mecanismo deve aplicar restrições à entrada, uma vez que o mecanismo não é responsável por validar a entrada.
Recomendações
Para a versão 3.1.5, considere aplicar restrições à entrada do mecanismo de modelagem Pebble para impedir a execução de código arbitrário, ou certifique-se de que a entrada não provenha de uma fonte não confiável. Como solução alternativa temporária, considere restringir o uso da funcionalidade springbok até que uma solução mais robusta seja implementada.
Exploit
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Pebble Templates