CVE-2021-22567

Bidirectional Override in Dart SDK

CVSS 4.6 MEDIUMEPSS 0.6%CWE-284

En resumen

El SDK de Dart no maneja adecuadamente caracteres Unicode especiales que invierten la dirección del texto, permitiendo a atacantes ocultar código malicioso en archivos que parecen inofensivos para revisores. Este truco puede engañar las verificaciones de seguridad porque el código aparenta ser seguro cuando se visualiza normalmente.

Detalle técnico

Los caracteres especiales de inversión bidireccional Unicode (CWE-284) en código fuente Dart pueden compilarse en comportamiento ejecutable diferente del que se representa visualmente en editores, permitiendo que un atacante inyecte lógica oculta que elude la revisión de código. La vulnerabilidad requiere acceso al código fuente e inatención del revisor, resultando en ejecución arbitraria de código mediante presentación engañosa de la lógica del programa.

Resumen generado y traducido por IA a partir de la descripción oficial.

Bidirectional Unicode text can be interpreted and compiled differently than how it appears in editors which can be exploited to get nefarious code passed a code review by appearing benign. An attacker could embed a source that is invisible to a code reviewer that modifies the behavior of a program in unexpected ways.

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:L

Productos afectados

Google LLC · Dart SDK

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/dart-lang/sdk/blob/main/CHANGELOG.md https://github.com/dart-lang/sdk/commit/52519ea8eb4780c468c4c2ed00e7c8046ccfed41