中危 nexb scancode.io命令注入漏洞(CVE-2023-39523)
CVE编号
CVE-2023-39523利用情况
暂无补丁情况
官方补丁披露时间
2023-08-08漏洞描述
ScanCode.io是一个用于脚本化和自动化软件组合分析的服务器,其中包含了ScanPipe管道。在版本32.5.1之前,该软件存在一种可能的命令注入漏洞,即在`docker_reference`参数中允许附加恶意命令,从而使得Docker Fetch流程易受攻击。在`scanpipe/pipes/fetch.py:fetch_docker_image`函数中,参数`docker_reference`可由用户控制。该`docker_reference`变量随后传递给易受攻击的`get_docker_image_platform`函数。但是,`get_docker_image_plaform`函数使用传递的`docker_reference`构造一个带有shell命令的语句。`pipes.run_command`然后执行shell命令而没有先对其进行任何消毒处理,使函数容易受到命令注入的攻击。能够创建或添加项目输入的恶意用户可以注入命令。尽管命令注入是盲目的,用户没有收到关于日志的直接反馈,但仍然可能对服务器/容器造成损害。例如,如果恶意用户在`docker://;`的输入后添加一个分号,则能够附加恶意命令。版本32.5.1中修补了此问题。应对`docker_reference`输入进行消毒处理以避免命令注入,并作为解决方案,可避免直接使用用户控制输入创建命令。解决建议
"将组件 scancodeio 升级至 32.5.1 及以上版本"受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | nexb | scancode.io | * | Up to (excluding) 32.5.1 | |||||
- 攻击路径 远程
- 攻击复杂度 复杂
- 权限要求 普通权限
- 影响范围 全局影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
| CWE-77 | 在命令中使用的特殊元素转义处理不恰当(命令注入) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论