PT-2024-21046 · Unknown+1 · Yocto Project+1
Michael Blunt
·
Publicado
2024-02-19
·
Atualizado
2025-02-03
·
CVE-2024-25626
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Yocto Project anteriores à 5.0
Versões do Yocto Project 3.1.x a 3.1.30
Versões do Yocto Project 4.0.x a 4.0.15
Versões do Yocto Project 4.3.x a 4.3.1
Versões do Bitbake anteriores à 2.6.2
Descrição
O problema está relacionado à falta de validação de entrada no servidor Toaster, que está incluído no Bitbake. Isso permite que um invasor execute código remotamente no shell do servidor por meio de uma solicitação HTTP maliciosa. Não é necessária autenticação para o ataque. O servidor Toaster não é o padrão para compilações da linha de comando do Bitbake e é usado apenas para a interface de usuário baseada na web do Toaster para o Bitbake.
Recomendações
Para versões do Yocto Project anteriores à 5.0, atualize para a versão 5.0 ou posterior.
Para versões do Yocto Project 3.1.x a 3.1.30, atualize para a versão 3.1.31 ou posterior.
Para versões do Yocto Project de 4.0.x a 4.0.15, atualize para a versão 4.0.16 ou posterior.
Para versões do Yocto Project de 4.3.x a 4.3.1, atualize para a versão 4.3.2 ou posterior.
Para versões do Bitbake anteriores à 2.6.2, atualize para a versão 2.6.2 ou posterior.
Como solução temporária, considere desativar o servidor Toaster até que um patch esteja disponível. Restrinja o acesso à interface de usuário baseada na web do Toaster para minimizar o risco de exploração.
Exploit
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Bitbake
Yocto Project