PT-2022-7037 · Unknown+8 · Exuberant Ctags+8

Publicado

2022-12-19

·

Atualizado

2024-06-28

·

CVE-2022-4515

CVSS v3.1

7.8

Alta

VetorAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Exuberant Ctags (versões afetadas não especificadas)
Descrição
Foi encontrada uma falha no Exuberant Ctags na forma como ele lida com a opção “-o”, que especifica o nome do arquivo de tags. Um nome de arquivo de tag malicioso especificado na linha de comando ou no arquivo de configuração resulta na execução de comandos arbitrários, pois a função externalSortTags() em sort.c chama a função system(3) de maneira insegura. Isso permite que um invasor execute comandos arbitrários.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

OS Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-78

Identificadores relacionados

ALSA-2023:2863
ALT-PU-2023-1594
ALT-PU-2024-7014
ALT-PU-2024-7062
ALT-PU-2024-8944
AZL-12083
AZL-34647
BDU:2023-07200
CESA-2023_2863
CVE-2022-4515
DLA-3254-1
MGASA-2023-0003
OESA-2023-1693
OESA-2023-1694
OPENSUSE-SU-2023_0225-1
OPENSUSE-SU-2024:12624-1
RHSA-2023:2863
RHSA-2023_2863
SUSE-SU-2023:0224-1
SUSE-SU-2023:0225-1
SUSE-SU-2023_0224-1
SUSE-SU-2023_0225-1
USN-5820-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Exuberant Ctags
Linuxmint
Red Hat
Suse
Ubuntu