0x00 漏洞概述
|
CVE ID |
CVE-2022-24803 |
时 间 |
2022-04-01 |
|
类 型 |
命令注入 |
等 级 |
高危 |
|
远程利用 |
是 |
影响范围 |
|
|
攻击复杂度 |
低 |
用户交互 |
无 |
|
PoC/EXP |
在野利用 |
0x01 漏洞详情
Ascidoctor是一个用 Ruby 编写的快速、开源的文本处理器和发布工具链。Asciidoctor-include-ext是对Asciidoctor的内置(预)处理器的重新实现,用于 include::[] 指令以可扩展和更简洁的方式。
4月1日,研究人员公开了asciidoctor-include-ext 中的一个命令注入漏洞(CVE-2022-24803),该漏洞的CVSSv3评分为10.0。
使用Asciidoctor (Ruby)和0.4.0版本之前的asciidoctor-include-ext的应用程序,在AsciiDoc标记中渲染用户提供的输入时,可能导致在主机上执行任意系统命令。
影响范围
asciidoctor-include-ext ( RubyGems ) < 0.4.0
0x02 安全建议
目前此漏洞已经在asciidoctor-include-ext 0.4.0中修复,受影响用户可以尽快更新到修复版本。
下载链接:
https://github.com/jirutka/asciidoctor-include-ext/tags
注:如果使用Ruby语言并且在代码中使用Asciidoc 文档标记,可以通过以下方式排查:
1.检查有问题的模块。使用Gem软件包管理器查看是否安装了asciidoc-include-ext。可以使用 gem list 来显示所有软件包,或者使用 gem list -i "^asciidoc" 来显示所有名称以 asciidoc 开头的模块。
2.检查版本号。如果asciidoc-include-ext 版本< 0.4.0则表明存在此漏洞。
0x03 参考链接
https://github.com/jirutka/asciidoctor-include-ext/security/advisories/GHSA-v222-6mr4-qj29
https://nakedsecurity.sophos.com/2022/04/08/popular-ruby-asciidoc-toolkit-patched-against-critical-vuln-get-the-update-now/
https://nvd.nist.gov/vuln/detail/CVE-2022-24803
0x04 版本信息
|
版本 |
日期 |
修改内容 |
|
V1.0 |
2022-04-11 |
首次发布 |
0x05 附录
原文始发于微信公众号(维他命安全):【漏洞通告】Asciidoctor-include-ext命令注入漏洞(CVE-2022-24803)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论