PT-2024-34357 · Unknown+3 · Owasp Dep-Scan+3
Eran-Medan
·
Publicado
2024-10-27
·
Atualizado
2025-02-02
·
CVE-2024-50611
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas:
Versões do CycloneDX cdxgen anteriores à 11.1.7
Descrição:
A vulnerabilidade permite a execução de código contido em arquivos relacionados à compilação, como
build.gradle.kts, quando executados em uma base de código não confiável. Isso é semelhante a uma vulnerabilidade identificada anteriormente. A ferramenta cdxgen é utilizada por diversos aplicativos, incluindo o OWASP dep-scan. Observou-se que se trata de uma limitação de projeto, e não de um erro de implementação.Recomendações:
Para versões anteriores à 11.1.7, atualize para a versão 11.1.7 ou posterior, que introduz um “modo seguro” que utiliza permissões do Node.js para controlar o acesso a recursos, limitando o acesso a arquivos e a execução de processos.
Correção
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cyclonedx
Node.Js
Owasp Dep-Scan
Cdxgen