PT-2022-7347 · Apache+9 · Apache Maven Maven-Shared-Utils+9

Charles Duffy

·

Publicado

2022-04-26

·

Atualizado

2026-05-20

·

CVE-2022-29599

CVSS v2.0

10

Crítica

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Apache Maven maven-shared-utils, versões anteriores à 3.3.3
Descrição
O problema está relacionado à classe Commandline no Apache Maven maven-shared-utils, que pode emitir strings entre aspas duplas sem o escape adequado. Isso permite ataques de injeção de shell, possibilitando que um invasor remoto realize ataques de injeção de código no shell de comando.
Recomendações
Para versões anteriores à 3.3.3, atualize para a versão 3.3.3 ou posterior para resolver o problema. Como solução temporária, considere desativar o uso de strings entre aspas duplas na classe Commandline até que um patch esteja disponível. Restrinja o acesso à classe Commandline para minimizar o risco de exploração. Evite usar a classe Commandline com entradas não confiáveis até que o problema seja resolvido.

Correção

Command Injection

Improper Encoding or Escaping of Output

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-77CWE-116

Identificadores relacionados

ALSA-2022:4797
ALSA-2022:4798
ALT-PU-2022-2160
BDU:2024-03775
CESA-2022_4797
CESA-2022_4798
CVE-2022-29599
DLA-3059-1
DLA-3086-1
DSA-5242-1
GHSA-RHGR-952R-6P8Q
OESA-2022-1684
OPENSUSE-SU-2024:12027-1
RHSA-2022:1541
RHSA-2022:1662
RHSA-2022:4699
RHSA-2022:4797
RHSA-2022:4798
RHSA-2022:9098
RHSA-2022_1541
RHSA-2022_4797
RHSA-2022_4798
RHSA-2023:0573
RHSA-2023:3198
RHSA-2023:3610
RHSA-2023:3622
RHSA-2023:6171
RHSA-2023:6172
RHSA-2023:6179
RHSA-2023:7288
RHSA-2024:0775
RHSA-2024:0776
RHSA-2024:0777
RHSA-2024:0778
RLSA-2022:4797
RLSA-2022:4798
USN-6730-1

Produtos afetados

Alt Linux
Almalinux
Apache Maven Maven-Shared-Utils
Astra Linux
Centos
Linuxmint
Red Hat
Red Os
Rocky Linux
Ubuntu