Formidable项目的开发者反对Mitre Corporation分配CVE漏洞条目

admin 2022年6月25日12:50:39安全新闻评论19 views1213字阅读4分2秒阅读模式

Formidable是一种流行的解析器,可在GitHub上获得,可在生产期间和无服务器环境中使用。Node.js模块和软件库是开源的。该“漏洞”于5月公开,被指定为CVE-2022-29622,其“严重”CVSS严重性评分为9.8,接近可能的最高值。一个“利用”视频也已上传到YouTube.

Formidable项目的开发者反对Mitre Corporation分配CVE漏洞条目


CVE-2022-29622在Formidable 3.1.4版本中被描述为一个危险的任意文件上传漏洞,攻击者可利用该漏洞“通过精心设计的文件名执行任意代码”。


但是,这种分类以及CVE分配存在争议——这已在CVE文档中得到承认。


NVD的CVE记录说:“一些第三方对这个问题提出异议,因为该产品具有上传任意文件是理想行为的常见用例。”


“此外,所有版本中都有配置选项可以更改文件处理方式的默认行为。”


在6月3日发表的一篇Medium博客文章中,项目维护者和Guardara的联合创始人Zsolt Imre发布了对先前文章的更新,该文章检查了所谓的错误,称他“仍然相信Formidable库与这些问题”。


Imre指出,允许任意文件上传的功能不一定是漏洞,这取决于用例以及代码执行是否遵循文件上传。


“必须执行代码,攻击者才能与web shell交互,”开发人员评论道。“因此,攻击者必须找到一个他/她可以说服的进程来触摸上传的文件。


“这不仅仅是任何一种‘触摸’!它实际上必须执行。正如你所看到的,这里的背景很重要。”


Imre继续说,该漏洞“允许攻击者通过精心制作的文件名执行任意代码”的说法是不正确的,因为“唯一容易受到此漏洞影响的是执行任意代码的东西”,并补充说该问题在软件库的情况下超出了范围。


开发者表示,更准确的说法是Formidable默认允许上传任意文件,但这并不意味着该功能本身就是一个漏洞。


如果 Fomidable 容易受到任意代码执行的影响,它必须要么执行上传的文件,要么允许“自动或按请求”执行内容,Imre说。


根据Imre的说法,总体而言,当Formidable是一个独立的攻击媒介时,该漏洞似乎并不有效。虽然维护者说您可能会争辩说存在错误或执行不善的功能,但这并不构成对用户的漏洞或风险。


“Formidable被错误地指责为脆弱,”伊姆雷说。“这种不实指控无缘无故地破坏了我们一项服务的发布。”


维护者在接受采访时表示,他已与Mitre联系,要求删除CVE。Miter将Imre提到了Formidable贡献者“GrosSacASac”的评论,其中他们提到了“易受攻击的条件”。


然而,Imre辩称Mitre阅读了评论“错误的方式,GrosSacASac并不是指库在某些条件下易受攻击,而是指以某种方式使用库的应用程序”。


维护者尚未收到该组织的进一步沟通,并已发布问题让GrosSacASa 回答,以期澄清情况。


原文始发于微信公众号(郑州网络安全):Formidable项目的开发者反对Mitre Corporation分配CVE漏洞条目

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月25日12:50:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Formidable项目的开发者反对Mitre Corporation分配CVE漏洞条目 http://cn-sec.com/archives/1143126.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: