PT-2022-5132 · Arr-Pm · Arr-Pm
Joernchen
·
Publicado
2022-09-21
·
Atualizado
2022-09-26
·
CVE-2022-39224
CVSS v3.1
7.0
Alta
| Vetor | AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Arr-pm anteriores à 0.0.12
Descrição
O problema está relacionado à injeção de comandos no sistema operacional, o que pode resultar na execução de um shell caso um RPM contenha um campo
payload compressor malicioso. Isso afeta os métodos extract e files da classe RPM::File. Para mitigar o problema, certifique-se de que os RPMs em processamento contenham valores válidos para o campo payload compressor, como gzip, bzip2, xz, zstd e lzma. O campo payload compressor em um RPM pode ser verificado usando a ferramenta de linha de comando rpm.Recomendações
Para versões anteriores à 0.0.12, atualize para a versão 0.0.12 para corrigir o problema.
Como solução temporária, certifique-se de que todos os RPMs em processamento contenham valores válidos/conhecidos de compressor de carga útil, como
gzip, bzip2, xz, zstd e lzma.Restrinja o acesso aos métodos
extract e files da classe RPM::File até que o problema seja resolvido.Exploit
Correção
XSS
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Arr-Pm