PT-2024-20649 · Openeuler · Openeuler A-Tune-Collector
Dbearzhu@Huawei.Com
·
Publicado
2024-03-15
·
Atualizado
2024-03-26
·
CVE-2024-24897
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
openEuler A-Tune-Collector, versões 1.1.0-3 a 1.3.0
Descrição
O problema está relacionado a uma neutralização inadequada de elementos especiais usados em um comando (vulnerabilidade de “injeção de comando”). Essa vulnerabilidade permite a injeção de comando no openEuler A-Tune-Collector no Linux. A vulnerabilidade está associada aos arquivos de programa atune collector/plugin/monitor/process/sched.py.
Recomendações
Para as versões 1.1.0-3 a 1.3.0, considere desativar o módulo
sched.py vulnerável até que um patch esteja disponível. Restrinja o acesso ao plugin atune collector vulnerável para minimizar o risco de exploração. Evite usar a funcionalidade de monitoramento process nos pontos de extremidade da API afetados até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Openeuler A-Tune-Collector