PT-2022-27790 · Liuos · Liuos
Fhildfshjkdsaiojsga
·
Publicado
2022-12-28
·
Atualizado
2023-01-13
·
CVE-2022-46179
CVSS v3.1
9.2
Crítica
| Vetor | AV:L/AC:L/PR:N/UI:N/S:C/C:L/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões 0.1.0 e anteriores do LiuOS
Descrição
O LiuOS é um pequeno projeto em Python que imita as funções de um sistema operacional comum. A vulnerabilidade permite que um invasor defina a variável de ambiente
GITHUB ACTIONS com qualquer valor que não seja null ou true, o que lhe permite ignorar as verificações de autenticação. Um script de teste é executado em vez de permitir o login quando a variável é definida como true.Recomendações
Para as versões 0.1.0 e anteriores, uma solução alternativa possível é verificar a variável de ambiente
GITHUB ACTIONS e defini-la como null para forçar as verificações de credenciais.Atualize para o commit mais recente (c658b4f3e57258acf5f6207a90c2f2169698ae22), que exige que a variável
GITHUB ACTIONS seja definida como true, impedindo assim que invasores ignorem as verificações de autenticação.Exploit
Correção
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Liuos