PT-2024-3432 · Less+10 · Less+10
Jakub Wilk
·
Publicado
2024-04-12
·
Atualizado
2026-03-29
·
CVE-2024-32487
CVSS v3.1
8.6
Alta
| Vetor | AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas:
versões do less até a 653
Descrição:
O problema está relacionado ao tratamento incorreto de aspas no arquivo filename.c, o que pode permitir que um invasor execute comandos arbitrários. Isso normalmente requer o uso de nomes de arquivos controlados pelo invasor, como aqueles extraídos de um arquivo compactado não confiável, e a variável de ambiente LESSOPEN, que em muitos casos está definida por padrão.
Recomendações:
Para versões até a 653, considere desativar a variável de ambiente LESSOPEN como uma solução temporária até que um patch esteja disponível. Restrinja o acesso a arquivos com nomes potencialmente maliciosos para minimizar o risco de exploração. Evite usar o less com arquivos ou arquivos não confiáveis até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Almalinux
Astra Linux
Centos
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu
Zvirt Node
Less