PT-2024-19473 · Beetl · Beetl
Wooclee
·
Publicado
2024-02-01
·
Atualizado
2025-06-06
·
CVE-2024-22533
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Beetl anteriores à 3.15.12
Descrição
O modelo de renderização no Beetl apresenta uma vulnerabilidade de injeção de modelo no lado do servidor (SSTI). Quando o modelo recebido é controlável, ele será filtrado pela lista negra do
DefaultNativeSecurityManager. No entanto, como a filtragem da lista negra não é rigorosa, ela pode ser contornada, levando à execução de código arbitrário.Recomendações
Para versões anteriores à 3.15.12, atualize para a versão 3.15.12 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao modelo de renderização para minimizar o risco de exploração. Além disso, certifique-se de que o modelo recebido não seja controlável por um invasor para impedir que a lista negra do
DefaultNativeSecurityManager seja contornada.Exploit
Correção
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Beetl