Vulnerabilidad en Tokio (CVE-2023-22466)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
04/01/2023
Última modificación:
11/01/2023
Descripción
Tokio es un runtime para escribir aplicaciones con Rust. A partir de la versión 1.7.0 y anteriores a las versiones 1.18.4, 1.20.3 y 1.23.1, al configurar un servidor de canalización con nombre de Windows, configurar `pipe_mode` restablecerá `reject_remote_clients` a `false`. Si la aplicación ha configurado previamente `reject_remote_clients` en `true`, esto efectivamente deshace la configuración. Los clientes remotos solo pueden acceder a la canalización con nombre si se puede acceder a la ruta asociada a la canalización con nombre a través de una carpeta compartida públicamente (SMB). Se han parcheado las versiones 1.23.1, 1.20.3 y 1.18.4. La solución también estará presente en todas las versiones a partir de la versión 1.24.0. Las canalizaciones con nombre se introdujeron en Tokio en la versión 1.7.0, por lo que las versiones anteriores a 1.7.0 no se ven afectadas. Como workaround, asegúrese de que `pipe_mode` esté configurado primero después de inicializar `ServerOptions`.
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:tokio:tokio:*:*:*:*:*:rust:*:* | 1.7.0 (incluyendo) | 1.18.4 (excluyendo) |
| cpe:2.3:a:tokio:tokio:*:*:*:*:*:rust:*:* | 1.19.0 (incluyendo) | 1.20.3 (excluyendo) |
| cpe:2.3:a:tokio:tokio:*:*:*:*:*:rust:*:* | 1.21.0 (incluyendo) | 1.23.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página