PT-2024-29783 · Fiware · Fiware Keyrock
Wolfgang Hotwagner
·
Publicado
2024-08-12
·
Atualizado
2024-08-29
·
CVE-2024-42166
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do FIWARE Keyrock <= 8.4
Descrição
A função
generate app certificates em lib/app certificates.js não neutraliza corretamente elementos especiais usados em um comando do sistema operacional. Isso permite que um usuário autenticado com permissões para criar aplicativos execute comandos ao criar um aplicativo com um nome malicioso.Recomendações
Para as versões do FIWARE Keyrock <= 8.4, como solução temporária, considere desativar a função
generate app certificates até que um patch esteja disponível. Restrinja o acesso ao módulo lib/app certificates.js para minimizar o risco de exploração. Evite usar a função generate app certificates para criar aplicativos com nomes potencialmente maliciosos até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fiware Keyrock