漏洞名称:
Asciidoctor-include-ext 命令注入漏洞
组件名称:
Asciidoctor-include-ext
影响范围:
asciidoctor-include-ext ( RubyGems ) < 0.4.0
漏洞类型:
命令注入漏洞
利用条件:
1、用户认证:不需要用户认证
2、前置条件:默认配置
3、触发方式:远程
综合评价:
<综合评定利用难度>:未知。
<综合评定威胁等级>:严重,能造成命令注入。
漏洞分析
1 组件介绍
Ascidoctor 是一个用 Ruby 编写的快速、开源的文本处理器和发布工具链。Asciidoctor-include-ext 是对 Asciidoctor 的内置(预处理)处理器的重新实现。
2 漏洞描述
近日,深信服安全团队监测到一则 Asciidoctor-include-ext 组件存在命令注入漏洞的信息,漏洞编号:CVE-2022-24803,漏洞威胁等级:严重。
该漏洞是由于 Asciidoctor-include-ext 处理用户输入时存在安全问题,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行命令注入攻击,最终获取服务器最高权限。
影响范围
Asciidoctor 是一个快速、开源、基于 Ruby 的文本处理器,用于将 AsciiDoc® 解析为文档模型并将其转换为输出格式,例如 HTML 5、DocBook 5、手册页、PDF、EPUB 3 和其他格式。Asciidoctor-include-ext 是对 Asciidoctor 的内置(预处理)处理器的重新实现。该漏洞危害较大,需要关注。
目前受影响的 Asciidoctor-include-ext ( RubyGems ) 版本:
Asciidoctor-include-ext ( RubyGems ) < 0.4.0
解决方案
1 如何检测组件系统版本
1.检查有问题的模块。使用 Gem 软件包管理器查看是否安装了 Asciidoc-include-ext。可以使用 gem list 来显示所有软件包,或者使用 gem list -i "^asciidoc" 来显示所有名称以 asciidoc 开头的模块。
2.检查版本号。如果 Asciidoc-include-ext 版本< 0.4.0 则表明存在此漏洞。
2 官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://github.com/jirutka/asciidoctor-include-ext
参考链接
https://github.com/jirutka/asciidoctor-include-ext/security/advisories/GHSA-v222-6mr4-qj29
时间轴
2022/4/12 深信服监测到 Asciidoc-include-ext 命令注入漏洞信息。
2022/4/12 深信服千里目安全实验室发布漏洞通告,同时发布解决方案。
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。
● 扫码关注我们
原文始发于微信公众号(深信服千里目安全实验室):【漏洞通告】Asciidoctor-include-ext 命令注入漏洞CVE-2022-24803
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论