Formidable 项目开发人员驳斥:MITRE 发的这个CVE漏洞纯属碰瓷

admin 2022年6月11日02:49:32安全新闻评论9 views1832字阅读6分6秒阅读模式

Formidable 项目开发人员驳斥:MITRE 发的这个CVE漏洞纯属碰瓷 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Formidable 项目开发人员驳斥:MITRE 发的这个CVE漏洞纯属碰瓷


Formidable 项目的开发人员就 Mitre 公司分配的一个CVE漏洞提出反对。


Formidable 是一款热门解析器,可从GitHub 下载,用于生产和无服务器环境中。其中Node.js模块和软件库是开源的。

该漏洞即CVE-2022-29622,在五月份公开,CVSS 评分为9.8,属于“严重”级别。目前已出现相关 exploit 演示视频。




上传是设计功能


Formidable 项目开发人员驳斥:MITRE 发的这个CVE漏洞纯属碰瓷


CVE-2022-29622 被描述为位于Formidable 3.1.4 版本中的一个危险的任意文件上传缺陷,可被攻击者用于“通过构造的文件名称执行任意代码”。

然而,这种分类以及CVE编号存在争议,而这一点已在CVE文档中提到。CVE文档指出,“某些第三方对这个问题有争议,因为该产品的常见用例中上传任意文件是预期行为。另外,所有版本中都存在可更改默认文件处理行为的配置选项。”

6月3日,Formidable 项目维护人员兼Guardara 的联合创始人 Zsolt Imre 发布博客文章指出,他“仍然有信心认为Formidable 库和这些问题不存在任何关联。”Imre 指出允许任意文件上传的特性并不一定是漏洞,这取决于用例以及上传文件后是否会存在代码执行行为。

他表示,“攻击者要和 web shell 交互则必须执行代码。因此攻击者必须找到能够说服的流程来接触上传的文件。这并非任意‘接触’!实际上必须被执行才行。如你所见,上下文在这里至关重要。”




无效言论


Formidable 项目开发人员驳斥:MITRE 发的这个CVE漏洞纯属碰瓷


Imre 继续说到,认为该漏洞“可导致攻击者通过构造文件名来执行任意代码”的言论是不正确的,因为“唯一受该漏洞影响的就是确实执行任意代码的情况”,指出该问题不属于软件库的情况。

Imre 指出,Formidable 允许默认上传任意文件的说法更为准确,但这并不意味着该功能本身就是漏洞。如果Formidable易受任意代码执行漏洞影响,则必须能够执行所上传的文件或者允许“自动或按要求”执行内容。

总的来说,Imre 认为当Formidable 是单独的攻击向量时,该漏洞并非有效漏洞。他表示,可以说它是一个bug 或实现不良的特性,但并构成漏洞或对用户带来风险。

Imre 表示,“Formidable 被错误地指控为易受攻击。这一错误指控不合理地打乱了其中一个服务的发布。”他指出正在和 Mitre 组织交涉撤下该CVE编号。Mitre 援引 Formidable 的一名贡献者 “GrosSacASac” 的“易受攻击的条件”予以回应。然而,Imre 指出,Mitre 对评论的理解“有误,GrosSacASac 指的并不是说该库在某些条件下易受攻击,而是说以某种方式使用该库的应用程序易受攻击。”目前,Mitre 并未给出进一步回应。




Imre 的评论


Formidable 项目开发人员驳斥:MITRE 发的这个CVE漏洞纯属碰瓷


Imre 评论称,“如果任何人有时间查看下代码就会了解该默认行为以及该库的配置,就会十分清楚 GrosSacASac 在评论中并不是说的该库的情况。遗憾的是,他/她并未给出回应。我认为在 GrosSacASac 回应之前,Mitre 不会做进一步调查。即使在这种情况下,我们可以看到 Mitre 似乎是根据观点而非事实进行运营,所以我们只能自求多福。”

Imre 还在GitHub 发了一项“挑战”,内容和对Formidable 进行进一步测试以及该CVE编号是否被正确分配有关。

我们将进一步关注事态进展。






代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com








推荐阅读

价值4万美元的微软Azure漏洞 ExtraReplica,没有CVE编号
MITRE 发布“2021年最重要的硬件弱点”榜单
MITRE 发布2021 CWE Top 25 榜单




原文链接

https://portswigger.net/daily-swig/formidable-developer-fights-back-against-critical-cve-vulnerability-assignment


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




Formidable 项目开发人员驳斥:MITRE 发的这个CVE漏洞纯属碰瓷
Formidable 项目开发人员驳斥:MITRE 发的这个CVE漏洞纯属碰瓷

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   Formidable 项目开发人员驳斥:MITRE 发的这个CVE漏洞纯属碰瓷 觉得不错,就点个 “在看” 或 "” 吧~

原文始发于微信公众号(代码卫士):Formidable 项目开发人员驳斥:MITRE 发的这个CVE漏洞纯属“碰瓷”

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月11日02:49:32
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Formidable 项目开发人员驳斥:MITRE 发的这个CVE漏洞纯属碰瓷 http://cn-sec.com/archives/1106947.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: