PT-2024-4011 · Less+10 · Less+10

Tmarkettos

·

Publicado

2024-02-18

·

Atualizado

2026-03-05

·

CVE-2022-48624

CVSS v3.1

7.8

Alta

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas:
versões do less anteriores à 606
Descrição:
O problema está relacionado à função close altfile no arquivo filename.c, que omite as chamadas shell quote para LESSCLOSE. Isso pode permitir que um invasor execute comandos arbitrários.
Recomendações:
Para versões anteriores à 606, atualize para a versão 606 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da variável LESSCLOSE para minimizar o risco de exploração.

Correção

Command Injection

OS Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-77CWE-78

Identificadores relacionados

ALSA-2024:1610
ALSA-2024:1692
ALSA-2024:4256
AZL-34458
BDU:2024-04438
CESA-2024_1610
CESA-2024_4256
CVE-2022-48624
DLA-3823-1
DSA-5679-1
INFSA-2024_4256
OESA-2024-1219
OPENSUSE-SU-2024_1192-1
RHSA-2024:1610
RHSA-2024:1692
RHSA-2024:1875
RHSA-2024:1989
RHSA-2024:4256
RHSA-2024_1610
RHSA-2024_1692
RHSA-2024_4256
RLSA-2024:1610
RLSA-2024:1692
SUSE-SU-2024:1189-1
SUSE-SU-2024:1190-1
SUSE-SU-2024:1192-1
SUSE-SU-2024_1189-1
SUSE-SU-2024_1190-1
SUSE-SU-2024_1192-1
USN-6664-1
USN-8079-1

Produtos afetados

Almalinux
Astra Linux
Centos
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu
Zvirt Node
Less