CVE-2024-45401

Nome do software vulnerável e versões afetadas:

stripe-cli, versões 1.11.1 a 1.21.2

Descrição:

Existe uma vulnerabilidade de traversal de caminho no stripe-cli, na qual um pacote de plug-in contendo um manifesto com um nome abreviado de plug-in malformado, instalado usando os sinalizadores --archive-url ou --archive-path, pode sobrescrever arquivos arbitrários. A atualização na versão 1.21.3 corrige esse problema removendo a capacidade de instalar plug-ins a partir de uma URL ou caminho de arquivo. Não há evidências de exploração dessa vulnerabilidade.

Recomendações:

Atualize para a versão 1.21.3 do stripe-cli. Como solução temporária, considere desativar a instalação de plug-ins a partir de URLs ou caminhos de arquivo até que a atualização seja aplicada. Restrinja o acesso aos sinalizadores --archive-url e --archive-path para minimizar o risco de exploração.