【漏洞通告】Asciidoctor-include-ext 命令注入漏洞CVE-2022-24803

admin 2022年4月13日09:35:07评论123 views字数 1366阅读4分33秒阅读模式

漏洞名称

Asciidoctor-include-ext 命令注入漏洞

组件名称

Asciidoctor-include-ext

影响范围

asciidoctor-include-ext ( RubyGems ) < 0.4.0

漏洞类型

命令注入漏洞

利用条件

1、用户认证:不需要用户认证
2、前置条件:默认配置

3、触发方式:远程

综合评价

<综合评定利用难度>:未知。

<综合评定威胁等级>:严重,能造成命令注入。


漏洞分析


组件介绍

Ascidoctor 是一个用 Ruby 编写的快速、开源的文本处理器和发布工具链。Asciidoctor-include-ext 是对 Asciidoctor 的内置(预处理)处理器的重新实现。


2 漏洞描述

近日,深信服安全团队监测到一则 Asciidoctor-include-ext 组件存在命令注入漏洞的信息,漏洞编号:CVE-2022-24803,漏洞威胁等级:严重。


该漏洞是由于 Asciidoctor-include-ext 处理用户输入时存在安全问题,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行命令注入攻击,最终获取服务器最高权限。


影响范围

 


Asciidoctor 是一个快速、开源、基于 Ruby 的文本处理器,用于将  AsciiDoc®  解析为文档模型并将其转换为输出格式,例如 HTML 5、DocBook 5、手册页、PDF、EPUB 3 和其他格式。Asciidoctor-include-ext 是对 Asciidoctor 的内置(预处理)处理器的重新实现。该漏洞危害较大,需要关注。


目前受影响的 Asciidoctor-include-ext ( RubyGems ) 版本:

Asciidoctor-include-ext ( RubyGems ) < 0.4.0


解决方案


如何检测组件系统版本

1.检查有问题的模块。使用 Gem 软件包管理器查看是否安装了 Asciidoc-include-ext。可以使用 gem list 来显示所有软件包,或者使用 gem list -i "^asciidoc" 来显示所有名称以 asciidoc 开头的模块。


2.检查版本号。如果 Asciidoc-include-ext 版本< 0.4.0 则表明存在此漏洞。


2 官方修复建议

当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:

https://github.com/jirutka/asciidoctor-include-ext


参考链接


https://github.com/jirutka/asciidoctor-include-ext/security/advisories/GHSA-v222-6mr4-qj29


时间轴


2022/4/12  深信服监测到 Asciidoc-include-ext 命令注入漏洞信息。

2022/4/12  深信服千里目安全实验室发布漏洞通告,同时发布解决方案。



点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。

【漏洞通告】Asciidoctor-include-ext 命令注入漏洞CVE-2022-24803


深信服千里目安全实验室

【漏洞通告】Asciidoctor-include-ext 命令注入漏洞CVE-2022-24803

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

● 扫码关注我们




原文始发于微信公众号(深信服千里目安全实验室):【漏洞通告】Asciidoctor-include-ext 命令注入漏洞CVE-2022-24803

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月13日09:35:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞通告】Asciidoctor-include-ext 命令注入漏洞CVE-2022-24803http://cn-sec.com/archives/904724.html

发表评论

匿名网友 填写信息