嚴重 | Asciidoctor-include-ext命令注入漏洞
VSole2022-04-11 18:02:46
0x01、漏洞狀態
漏洞細節 漏洞POC 漏洞EXP 在野利用 是 是 是 未知 |
0x02、漏洞描述
Ascidoctor是一個用 Ruby 編寫的快速、開源的文本處理器和發布工具鏈。Asciidoctor-include-ext是對Asciidoctor的內置(預)處理器的重新實現,用于 include::[] 指令以可擴展和更簡潔的方式。
2022年4月1日,研究人員公開了一個存在于asciidoctor-include-ext ( RubyGems ) 中的命令注入漏洞。漏洞編號:CVE-2022-24803,漏洞威脅等級:嚴重,漏洞評分:10.0。
Asciidoctor-include-ext命令注入漏洞
Asciidoctor-include-ext命令注入漏洞 漏洞編號 CVE-2022-24803 漏洞類型 命令注入 漏洞等級 嚴重(10.0) 公開狀態 公開 在野利用 未知 漏洞描述 使用Asciidoctor (Ruby)和0.4.0版本之前的asciidoctor-include-ext的應用程序,在AsciiDoc標記中渲染用戶提供的輸入時,可能導致在主機上執行任意系統命令。 |
0x03、漏洞等級
嚴重(10.0)
0x04、影響版本
asciidoctor-include-ext ( RubyGems ) < 0.4.0
0x05、修復建議
廠商已發布補丁修復漏洞,用戶請盡快更新至安全版本0.4.0,下載鏈接如下:
https://github.com/jirutka/asciidoctor-include-ext/tags
與此同時,請做好資產自查以及預防工作,以免遭受黑客攻擊。
VSole
網絡安全專家