sbt — инструмент сборки для Scala, Java и других. Начиная с версии 0.9.5 и до версии 1.12.7 в Windows, sbt использует Process("cmd", "/c", ...) для запуска команд VCS (git, hg, svn). Фрагмент URI (ветвь, тег, ревизия) контролируется пользователем через определение сборки и передается этим командам без проверки.
Поскольку cmd /c интерпретирует &, | и ; в качестве разделителей команд вредоносный фрагмент может выполнять произвольные команды. Эта проблема исправлена в версии 1.12.7.
Показать оригинальное описание (EN)
sbt is a build tool for Scala, Java, and others. From version 0.9.5 to before version 1.12.7, on Windows, sbt uses Process("cmd", "/c", ...) to run VCS commands (git, hg, svn). The URI fragment (branch, tag, revision) is user-controlled via the build definition and passed to these commands without validation. Because cmd /c interprets &, |, and ; as command separators, a malicious fragment can execute arbitrary commands. This issue has been patched in version 1.12.7.
Характеристики атаки
Последствия
Строка CVSS v4.0