Formidable项目的开发者反对Mitre Corporation分配CVE漏洞条目

Formidable是一种流行的解析器，可在GitHub上获得，可在生产期间和无服务器环境中使用。Node.js模块和软件库是开源的。该“漏洞”于5月公开，被指定为CVE-2022-29622，其“严重”CVSS严重性评分为9.8，接近可能的最高值。一个“利用”视频也已上传到YouTube.

CVE-2022-29622在Formidable 3.1.4版本中被描述为一个危险的任意文件上传漏洞，攻击者可利用该漏洞“通过精心设计的文件名执行任意代码”。

但是，这种分类以及CVE分配存在争议——这已在CVE文档中得到承认。

NVD的CVE记录说：“一些第三方对这个问题提出异议，因为该产品具有上传任意文件是理想行为的常见用例。”

“此外，所有版本中都有配置选项可以更改文件处理方式的默认行为。”

在6月3日发表的一篇Medium博客文章中，项目维护者和Guardara的联合创始人Zsolt Imre发布了对先前文章的更新，该文章检查了所谓的错误，称他“仍然相信Formidable库与这些问题”。

Imre指出，允许任意文件上传的功能不一定是漏洞，这取决于用例以及代码执行是否遵循文件上传。

“必须执行代码，攻击者才能与web shell交互，”开发人员评论道。“因此，攻击者必须找到一个他/她可以说服的进程来触摸上传的文件。

“这不仅仅是任何一种‘触摸’！它实际上必须执行。正如你所看到的，这里的背景很重要。”

Imre继续说，该漏洞“允许攻击者通过精心制作的文件名执行任意代码”的说法是不正确的，因为“唯一容易受到此漏洞影响的是执行任意代码的东西”，并补充说该问题在软件库的情况下超出了范围。

开发者表示，更准确的说法是Formidable默认允许上传任意文件，但这并不意味着该功能本身就是一个漏洞。

如果 Fomidable 容易受到任意代码执行的影响，它必须要么执行上传的文件，要么允许“自动或按请求”执行内容，Imre说。

根据Imre的说法，总体而言，当Formidable是一个独立的攻击媒介时，该漏洞似乎并不有效。虽然维护者说您可能会争辩说存在错误或执行不善的功能，但这并不构成对用户的漏洞或风险。

“Formidable被错误地指责为脆弱，”伊姆雷说。“这种不实指控无缘无故地破坏了我们一项服务的发布。”

维护者在接受采访时表示，他已与Mitre联系，要求删除CVE。Miter将Imre提到了Formidable贡献者“GrosSacASac”的评论，其中他们提到了“易受攻击的条件”。

然而，Imre辩称Mitre阅读了评论“错误的方式，GrosSacASac并不是指库在某些条件下易受攻击，而是指以某种方式使用库的应用程序”。

维护者尚未收到该组织的进一步沟通，并已发布问题让GrosSacASa 回答，以期澄清情况。

原文始发于微信公众号（郑州网络安全）：Formidable项目的开发者反对Mitre Corporation分配CVE漏洞条目