PT-2024-22318 · Judge0 · Judge0
Stacksparrow4
·
Publicado
2024-04-18
·
Atualizado
2024-05-02
·
CVE-2024-28185
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Judge0 (versões afetadas não especificadas)
Descrição
A vulnerabilidade diz respeito a um sistema de código aberto para execução de código online. O sistema não leva em consideração links simbólicos (symlinks) colocados dentro do diretório da sandbox, o que pode ser explorado por um invasor para gravar em arquivos arbitrários e obter execução de código fora da sandbox. Ao executar um envio, o sistema grava um
run script no diretório da sandbox. Um invasor pode criar um link simbólico (symlink) no caminho run script antes que esse código seja executado, fazendo com que o f.write grave em um arquivo arbitrário no sistema fora da sandbox. Isso pode ser usado para sobrescrever scripts no sistema e obter execução de código fora da sandbox.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Link Following
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Judge0