← voltar
CVE-2021-21289

Command Injection Vulnerability in Mechanize

CVSS 7.4 HIGHEPSS 3.5%CWE-78
Em resumo

A biblioteca Mechanize, usada para automação web em Ruby, possui uma vulnerabilidade que permite executar comandos do sistema operacional se nomes de arquivo não confiáveis forem usados em certas funções. O problema é que a biblioteca não valida adequadamente os caminhos de arquivo antes de abri-los.

Detalhe técnico

Vulnerabilidade de injeção de comando (CWE-78) na Mechanize versões 2.0.0–2.7.6 explorável através do tratamento inadequado de caminhos de arquivo em chamadas Kernel.open nos métodos CookieJar#load, CookieJar#save_as, download, Download#save, File#save e FileResponse#read_body. Vetor de ataque requer entrada de nome de arquivo controlada pelo atacante; impacto inclui execução arbitrária de comando do SO com privilégios da aplicação.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Mechanize is an open-source ruby library that makes automated web interaction easy. In Mechanize from version 2.0.0 and before version 2.7.7 there is a command injection vulnerability. Affected versions of mechanize allow for OS commands to be injected using several classes' methods which implicitly use Ruby's Kernel.open method. Exploitation is possible only if untrusted input is used as a local filename and passed to any of these calls: Mechanize::CookieJar#load, Mechanize::CookieJar#save_as, Mechanize#download, Mechanize::Download#save, Mechanize::File#save, and Mechanize::FileResponse#read_body. This is fixed in version 2.7.7.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:H/A:N
Produtos afetados
sparklemotion · mechanize

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/sparklemotion/mechanize/commit/66a6a1bfa653a5f13274a396a5e5441238656aa0https://github.com/sparklemotion/mechanize/releases/tag/v2.7.7https://github.com/sparklemotion/mechanize/security/advisories/GHSA-qrqm-fpv6-6r8ghttps://lists.debian.org/debian-lts-announce/2021/02/msg00021.htmlhttps://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/LBVVJUL4P4KCJH4IQTHFZ4ATXY7XXZPV/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/YNFZ7ROYS6V4J5L5PRAJUG2AWC7VXR2V/https://rubygems.org/gems/mechanize/https://security.gentoo.org/glsa/202107-17