Vulnerabilidad en Yocto Project (CVE-2024-25626)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
19/02/2024
Última modificación:
03/02/2025
Descripción
Yocto Project es un proyecto de colaboración de código abierto que ayuda a los desarrolladores a crear sistemas personalizados basados en Linux independientemente de la arquitectura del hardware. En Yocto Projects Bitbake anterior a 2.6.2 (anterior e incluido Yocto Project 4.3.1), con el servidor Toaster (incluido en bitbake) ejecutándose, la validación de entrada faltante permite a un atacante realizar una ejecución remota de código en el shell del servidor a través de un HTTP manipulado pedido. La autenticación no es necesaria. La ejecución del servidor Toaster debe ejecutarse específicamente y no es la opción predeterminada para las compilaciones de la línea de comandos de Bitbake; solo se usa para la interfaz de usuario basada en web de Toaster para Bitbake. La solución se ha compatible con el bitbake incluido en Yocto Project 5.0, 3.1.31, 4.0.16 y 4.3.2.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:linuxfoundation:yocto:*:*:*:*:*:*:*:* | 3.1.31 (excluyendo) | |
| cpe:2.3:a:linuxfoundation:yocto:*:*:*:*:*:*:*:* | 3.2 (incluyendo) | 4.0.16 (excluyendo) |
| cpe:2.3:a:linuxfoundation:yocto:*:*:*:*:*:*:*:* | 4.1 (incluyendo) | 4.3.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página