【漏洞預警】Asciidoctor-include-ext 命令注入漏洞
1. 通告信息
近日,安識科技A-Team團隊監測到一則 Asciidoctor-include-ext 組件存在命令注入漏洞的信息,漏洞編號:CVE-2022-24803,漏洞威脅等級:嚴重,該漏洞是由于 Asciidoctor-include-ext 處理用戶輸入時存在安全問題,攻擊者可利用該漏洞在未授權的情況下,構造惡意數據執行命令注入攻擊,導致在主機上執行任意系統命令。
對此,安識科技建議廣大用戶及時升級到安全版本,并做好資產自查以及預防工作,以免遭受黑客攻擊。
2. 漏洞概述
CVE-2022-24803
簡述:Asciidoctor是Asciidoctor組織的一款使用Ruby編寫的文本處理器。該產品支持將AsciiDoc內容轉換成HTML5、DocBook等格式。
Asciidoctor-include-ext 0.4.0 之前的版本存在操作系統命令注入漏洞,該漏洞可能允許攻擊者在主機操作系統上執行任意系統命令。
3. 漏洞危害
攻擊者可利用該漏洞在未授權的情況下,構造惡意數據執行命令注入攻擊,導致在主機上執行任意系統命令。
4. 影響版本
目前受影響的版本:
Asciidoctor-include-ext ( RubyGems ) < 0.4.0
5. 解決方案
廠商已發布補丁修復漏洞,用戶請盡快更新至安全版本 0.4.0,下載鏈接如下:https://github.com/jirutka/asciidoctor-include-ext/tags
6. 時間軸
【-】2022年4月20日 安識科技A-Team團隊監測到Oracle Access Management漏洞信息。
【-】2022年4月20日 安識科技A-Team團隊根據漏洞信息分析
【-】2022年4月21日 安識科技A-Team團隊發布安全通告
