PT-2024-29979 · Fish Shop · Syntax-Check
Marcransome
·
Publicado
2024-08-12
·
Atualizado
2024-09-17
·
CVE-2024-42482
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do fish-shop/syntax-check anteriores à v1.6.12
Versões do fish-shop/syntax-check anteriores à v2.0.0
Descrição
O problema está relacionado à neutralização inadequada de delimitadores na entrada
pattern, especificamente o separador de comando ; e os caracteres de substituição de comando ( e ). Isso permite a injeção arbitrária de comandos por meio da modificação do valor de entrada usado em um fluxo de trabalho, expondo ou exfiltrando potencialmente informações confidenciais do executor do fluxo de trabalho.Recomendações
Para versões anteriores à v1.6.12, atualize para a versão v1.6.12 ou para a versão de lançamento mais recente, v2.0.0.
Para versões anteriores à v2.0.0, atualize para a versão v2.0.0.
Como solução alternativa temporária, considere o controle cuidadoso dos fluxos de trabalho e do valor de entrada
pattern usado por esta ação para minimizar o risco de exploração.Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Syntax-Check