PT-2024-1464 · Postman · Postman
Giovannipajeu1
·
Publicado
2024-01-27
·
Atualizado
2024-08-01
·
CVE-2024-23738
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões 10.22 e anteriores do Postman
Descrição
A vulnerabilidade permite que um invasor remoto execute código arbitrário por meio das configurações
RunAsNode e enableNodeClilnspectArguments. Ela está relacionada a um estouro de buffer ao processar arquivos PDF sem verificar o tamanho dos dados de entrada. O fornecedor contesta a precisão do relatório, afirmando que a configuração não permite a execução remota de código.Recomendações
Para as versões 10.22 e anteriores do Postman, como solução temporária, considere desativar as configurações
RunAsNode e enableNodeClilnspectArguments até que um patch esteja disponível.No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Buffer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Postman