中危 Hyper Bump It 路径遍历漏洞(CVE-2023-41057)
CVE编号
CVE-2023-41057利用情况
暂无补丁情况
官方补丁披露时间
2023-09-05漏洞描述
`hyper-bump-it` 是一个用于更新项目文件中版本的命令行工具。`hyper-bump-it` 从配置文件中读取文件匹配模式,并与项目根目录结合构成一个完整的匹配模式,用于查找应该被编辑的文件。这些匹配的文件应该被包含在项目根目录中,但没有进行检查。这可能导致更改被写入到项目之外的文件中。`hyper-bump-it` 的默认行为是在编辑任何文件之前显示计划的更改并提示用户确认。然而,配置文件提供了一个字段,可以导致文件在不显示提示的情况下被编辑。此问题已在版本0.5.1中修复。建议用户升级。对于无法从受漏洞影响的版本升级的用户,使用`--interactive`命令行参数执行`hyper-bump-it`将确保显示所有计划的更改并在编辑任何文件之前提示用户确认,即使配置文件包含`show_confirm_prompt=true`。解决建议
"将组件 hyper-bump-it 升级至 0.5.1 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/plannigan/hyper-bump-it/pull/307 | |
| https://github.com/plannigan/hyper-bump-it/security/advisories/GHSA-xc27-f9q3-4448 |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | plannigan | hyper_bump_it | * | Up to (excluding) 0.5.1 | |||||
- 攻击路径 本地
- 攻击复杂度 困难
- 权限要求 管控权限
- 影响范围 有限影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
| CWE-22 | 对路径名的限制不恰当(路径遍历) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论