PT-2024-3871 · Kitty · Kitty
Austin A. Defrancesco
+1
·
Publicado
2024-01-08
·
Atualizado
2024-02-15
·
CVE-2024-23749
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas:
KiTTY versões 0.76.1.13 e anteriores
Descrição:
O problema está relacionado à sanitização e validação insuficientes de entradas, à falha em escapar caracteres especiais e a chamadas de sistema inseguras. Isso permite que um invasor insira dados na variável
filename, levando à execução de código arbitrário. A vulnerabilidade ocorre devido à falta de limpeza adequada dos dados no nível de gerenciamento.Recomendações:
Para as versões 0.76.1.13 e anteriores do KiTTY, considere desativar o uso da variável
filename até que um patch esteja disponível para prevenir ataques de injeção de comando. Restrinja o acesso às chamadas de sistema nas linhas 2369-2390 para minimizar o risco de exploração. Evite usar caracteres especiais na variável filename para reduzir o risco de execução de código arbitrário. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Kitty