Vulnerabilidad en fish-shop/syntax-check (CVE-2024-42482)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

12/08/2024

Última modificación:

17/09/2024

Descripción

fish-shop/syntax-check es una acción de GitHub para verificar la sintaxis de fish shell files. La neutralización inadecuada de los delimitadores en la entrada `patrón` (específicamente el separador de comando `;` y los caracteres de sustitución de comando `(` y `)`) significa que la inyección de comando arbitraria es posible mediante la modificación del valor de entrada utilizado en un flujo de trabajo. Esto tiene el potencial de exponer o exfiltrar información confidencial del ejecutor del flujo de trabajo, como podría lograrse enviando variables de entorno a una entidad externa. Se recomienda que los usuarios actualicen a la versión parcheada `v1.6.12` o a la última versión `v2.0.0`; sin embargo, es posible realizar una corrección mediante un control cuidadoso de los flujos de trabajo y el valor de entrada del `patrón` utilizado por esta acción.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.50

Gravedad 3.x

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:fish-shop:syntax-check::::::::		1.6.12 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Vulnerabilidad en fish-shop/syntax-check (CVE-2024-42482)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información