PT-2024-7385 · Docker+1 · Docker+1
Publicado
2024-10-14
·
Atualizado
2024-10-29
·
CVE-2024-41997
CVSS v3.1
6.6
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L |
Nome do software vulnerável e versões afetadas:
Versões do Warp Terminal anteriores a 18/07/2024 (v0.2024.07.16.08.02)
Descrição:
Existe uma vulnerabilidade de injeção de comando na funcionalidade de integração com o Docker do Warp Terminal. Um invasor pode criar um hiperlink especialmente criado usando a intenção
warp://action/docker/open subshell que, quando clicado pela vítima, resulta na execução de comandos na máquina da vítima. O problema está relacionado ao gerenciamento incorreto da geração de código no componente de integração com o Docker.Recomendações:
Para versões anteriores a 2024.07.18 (v0.2024.07.16.08.02), atualize para uma versão lançada após 2024.07.18 para resolver o problema. Como solução alternativa temporária, considere desativar a funcionalidade de integração com o Docker até que um patch esteja disponível. Restrinja o acesso à intenção
warp://action/docker/open subshell para minimizar o risco de exploração.Correção
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Docker
Warp Terminal