Уязвимость внедрения команд в скрипте szc репозитория ccurtsinger/stabilizer позволяет удаленным злоумышленникам выполнять произвольные системные команды посредством несанкционированного пользовательского ввода, передаваемого в os.system(). Уязвимость возникает из-за неправильной обработки ввода, когда аргументы командной строки напрямую объединяются в команды оболочки без проверки.
Показать оригинальное описание (EN)
A command injection vulnerability in the szc script of the ccurtsinger/stabilizer repository allows remote attackers to execute arbitrary system commands via unsanitized user input passed to os.system(). The vulnerability arises from improper input handling where command-line arguments are directly concatenated into shell commands without validation
Характеристики атаки
Способ атаки
Локальный
Нужен локальный доступ
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1