ГлавнаяБаза уязвимостей БДУ → BDU:2023-04626
7.3высокая

BDU:2023-04626

Уязвимость функции fetch_docker_image() средства автоматизации процесса анализа программного обеспечения ScanCode.io, позволяющая нарушителю выполнить произвольные команды
Опубликовано: 2023-08-11
Описание

Уязвимость функции fetch_docker_image() средства автоматизации процесса анализа программного обеспечения ScanCode.io связана с непринятием мер по защите структуры веб-страницы при обработке параметра docker_reference. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды

Затрагиваемое ПО и версии
ScanCode.io (до 32.5.1)
Способ устранения

Использование рекомендаций:
https://github.com/nexB/scancode.io/blob/main/scanpipe/pipes/fetch.py#L185
https://github.com/nexB/scancode.io/releases/tag/v32.5.1
https://github.com/nexB/scancode.io/commit/07ec0de1964b14bf085a1c9a27ece2b61ab6105c
https://scancodeio.readthedocs.io/en/latest/changelog.html#v32-5-1-2023-08-07

Оценка CVSS
Балл7.3 — высокая опасность
Источники и патчи
https://github.com/nexB/scancode.io/security/advisories/GHSA-2ggp-cmvm-f62fhttps://github.com/nexB/scancode.io/blob/main/scanpipe/pipes/fetch.py#L185https://github.com/nexB/scancode.io/commit/07ec0de1964b14bf085a1c9a27ece2b61ab6105chttps://github.com/nexB/scancode.io/releases/tag/v32.5.1
Проверьте безопасность своего сайта и почты → Полная проверка домена