Vulnerabilidad en los métodos "extract" y "files" de la clase "RPM::File" en Arr-pm (CVE-2022-39224)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)

Fecha de publicación:

21/09/2022

Última modificación:

26/09/2022

Descripción

Arr-pm es una biblioteca de lectura/escritura de RPM escrita en Ruby. Las versiones anteriores a 0.0.12 están sujetas a una inyección de comandos del Sistema Operativo, resultando en una ejecución de shell si el RPM contiene un campo "payload compressor" malicioso. Esta vulnerabilidad afecta a los métodos "extract" y "files" de la clase "RPM::File" de esta biblioteca. La versión 0.0.12 parchea estos problemas. Una mitigación para este problema es asegurarse de que cualquier RPM que es procedido contenga valores de compresores de carga útil válidos/conocidos como gzip, bzip2, xz, zstd y lzma. El campo del compresor de carga útil en un rpm puede comprobarse al usar la herramienta de línea de comandos rpm

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.80 ALTA
Vector: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto