Vulnerabilidad en elisp-mode.el de GNU Emacs (CVE-2024-53920)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
27/11/2024
Última modificación:
30/04/2025
Descripción
En elisp-mode.el de GNU Emacs hasta la versión 30.0.92, un usuario que elija invocar elisp-completion-at-point (para completar el código) en código fuente de Emacs Lisp que no sea de confianza puede desencadenar una expansión de macros de Lisp no segura que permita a los atacantes ejecutar código arbitrario. (Esta expansión no segura también ocurre si un usuario elige habilitar el diagnóstico sobre la marcha de que byte compila código fuente de Emacs Lisp que no es de confianza).
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:gnu:emacs:*:*:*:*:*:*:*:* | 30.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://eshelyaron.com/posts/2024-11-27-emacs-aritrary-code-execution-and-how-to-avoid-it.html
- https://git.savannah.gnu.org/cgit/emacs.git/tag/?h=emacs-30.0.92
- https://git.savannah.gnu.org/cgit/emacs.git/tree/ChangeLog.4
- https://git.savannah.gnu.org/cgit/emacs.git/tree/etc/NEWS?h=emacs-30.1
- https://news.ycombinator.com/item?id=42256409
- https://yhetil.org/emacs/CAFXAjY5f4YfHAtZur1RAqH34UbYU56_t6t2Er0YEh1Sb7-W=hg@mail.gmail.com/