CVE-2024-53256

Versões do Rizin anteriores à 0.7.4

O Rizin é uma estrutura de engenharia reversa semelhante ao UNIX e um conjunto de ferramentas de linha de comando. Um trecho de código em rizin.c sofreu uma injeção de comando devido ao uso de rz core cmdf para invocar o comando m, que foi removido na versão v0.1.x. Um binário malicioso que define bclass (parte do RzBinInfo) é executado se rclass (parte do RzBinInfo) for definido como fs; a vulnerabilidade pode ser explorada por qualquer formato bin em que bclass e rclass sejam definidos pelo usuário.

Para versões anteriores à 0.7.4, atualize para a versão 0.7.4 para resolver o problema. Como solução temporária, considere restringir o uso de bclass e rclass definidos pelo usuário em formatos bin para minimizar o risco de exploração. Evite usar a função rz core cmdf para invocar comandos até que o problema seja resolvido.