BatBadBut: vulnerabilidad crítica en Rust
Rust para Windows, versiones anteriores a 1.77.2, si el código o una de sus dependencias ejecuta archivos por lotes con argumentos no fiables.
RyotaK, investigador de seguridad en Flatt Security, ha reportado una vulnerabilidad de severidad crítica (denominada BatBadBut) al Rust Security Response WG. Un atacante capaz de controlar los argumentos proporcionados al proceso generado podría ejecutar comandos de shell arbitrarios omitiendo el escapado de caracteres.
Actualizar Rust a la versión 1.77.2.
La vulnerabilidad se origina debido a un tratamiento inadecuado de los argumentos de línea de comandos (Command::arg y Command::args), que podrían manipularse para ejecutar comandos arbitrarios. Se ha asignado el identificador CVE-2024-24576 para esta vulnerabilidad.