CVE-2022-39243

NuProcess, versões 1.2.0 a 2.0.4

O NuProcess é uma implementação de execução de processos externos para Java que está vulnerável a ataques de injeção de linha de comando. Os invasores podem usar caracteres NUL em suas strings para injetar argumentos de linha de comando. Esse problema é específico do Linux e pode ser explorado devido à falta de verificação no NuProcess, que está presente no ProcessBuilder do Java. A vulnerabilidade só pode ser explorada no Linux, pois no macOS e no Windows, qualquer argumento com um caractere NUL é truncado, impedindo que os argumentos maliciosos sejam vistos pelo processo iniciado.

Para as versões 1.2.0 a 2.0.4 do NuProcess, atualize para a versão 2.0.5 para resolver o problema.

Como solução alternativa temporária para as versões 1.2.0 a 2.0.4, os usuários da biblioteca podem sanitizar as strings de comando para remover caracteres NUL antes de passá-las ao NuProcess para execução.