Vulnerabilidad en find-exec (CVE-2023-40582)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
30/08/2023
Última modificación:
21/11/2024
Descripción
find-exec es una utilidad para descubrir comandos de shell disponibles. Las versiones anteriores a la 1.0.3 no escapaban correctamente la entrada del usuario y son vulnerables a la inyección de comandos a través de un parámetro controlado por un atacante. Como resultado, los atacantes pueden ejecutar comandos de shell maliciosos en el contexto del proceso en ejecución. Este problema ha sido abordado en la versión 1.0.3. Se aconseja a los usuarios actualizar. Los usuarios que no puedan actualizar deben asegurarse de que toda la entrada pasada a find-exec provenga de una fuente confiable.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:find-exec_project:find-exec:*:*:*:*:*:node.js:*:* | 1.0.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/shime/find-exec/commit/74fb108097c229b03d6dba4cce81e36aa364b51c
- https://github.com/shime/find-exec/security/advisories/GHSA-95rp-6gqp-6622
- https://github.com/shime/find-exec/commit/74fb108097c229b03d6dba4cce81e36aa364b51c
- https://github.com/shime/find-exec/security/advisories/GHSA-95rp-6gqp-6622