Intake — пакет для поиска, исследования, загрузки и распространения данных. До версии 2.0.9 синтаксис Shell() в значениях параметров по умолчанию автоматически расширялся в процессе анализа каталога. Если каталог содержит параметр по умолчанию, например, Shell(<команда>), команда может быть выполнена при доступе к источнику каталога.
Это означает, что если пользователь загружает вредоносный каталог YAML, встроенные команды могут выполняться в хост-системе. Версия 2.0.9 решает эту проблему, везде делая getshell False по умолчанию.
Показать оригинальное описание (EN)
Intake is a package for finding, investigating, loading and disseminating data. Prior to version 2.0.9, the shell() syntax within parameter default values appears to be automatically expanded during the catalog parsing process. If a catalog contains a parameter default such as shell(<command>), the command may be executed when the catalog source is accessed. This means that if a user loads a malicious catalog YAML, embedded commands could execute on the host system. Version 2.0.9 mitigates the issue by making getshell False by default everywhere.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Intake Intake
cpe:2.3:a:intake:intake:*:*:*:*:*:*:*:*
|
— |
2.0.9
|