PT-2024-28959 · Nuclei · Nuclei
Ovi3
·
Publicado
2024-07-17
·
Atualizado
2024-07-22
·
CVE-2024-40641
CVSS v4.0
8.8
Alta
| Vetor | AV:N/AC:L/AT:P/PR:N/UI:P/VC:H/VI:H/VA:N/SC:H/SI:H/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Nuclei anteriores à 3.3.0
Descrição
Foi descoberta no Nuclei uma maneira de executar modelos de código sem a opção -code e sem assinatura. Esse problema afeta algumas aplicações web que herdam do Nuclei e permitem que os usuários editem e executem arquivos de fluxo de trabalho, possibilitando que os usuários executem comandos arbitrários. O problema foi corrigido na versão 3.3.0.
Recomendações
Para versões anteriores à 3.3.0, atualize para a versão 3.3.0 para resolver o problema. Como solução temporária, considere restringir o acesso a arquivos de fluxo de trabalho e desativar a execução de modelos de código não assinados até que a atualização seja aplicada. Evite usar o campo
workflows em arquivos YAML para simular um arquivo de fluxo de trabalho, pois isso pode ser usado para executar comandos arbitrários.Exploit
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Nuclei