首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】Asciidoctor-include-ext命令注入漏洞(CVE-2022-24803)

發布時間 2022-04-11

 

0x00 漏洞概述

CVE   ID

CVE-2022-24803

時    間

2022-04-01

類    型

命令注入

等    級

高危

遠程利用

影響范圍


攻擊復雜度

用戶交互

PoC/EXP


在野利用


 

0x01 漏洞詳情

Ascidoctor是一個用 Ruby 編寫的快速、開源的文本處理器和發布工具鏈。 Asciidoctor-include-ext是對Asciidoctor的內置(預)處理器的重新實現,用于 include::[] 指令以可擴展和更簡潔的方式。

4月1日,研究人員公開了Asciidoctor-include-ext 中的一個命令注入漏洞(CVE-2022-24803),該漏洞的CVSSv3評分為10.0。

使用Asciidoctor (Ruby)和0.4.0版本之前的Asciidoctor-include-ext的應用程序,在AsciiDoc標記中渲染用戶提供的輸入時,可能導致在主機上執行任意系統命令。

 

影響范圍

Asciidoctor-include-ext ( RubyGems ) < 0.4.0

 

0x02 安全建議

目前此漏洞已經在Asciidoctor-include-ext 0.4.0中修復,受影響用戶可以盡快更新到修復版本。

下載鏈接:

https://github.com/jirutka/asciidoctor-include-ext/tags

https://bundler.rubygems.org/gems/asciidoctor-include-ext

注:如果使用Ruby語言并且在代碼中使用 Asciidoc 文檔標記,可以通過以下方式排查:

1.檢查有問題的模塊。使用Gem軟件包管理器查看是否安裝了Asciidoc-include-ext??梢允褂?gem list 來顯示所有軟件包,或者使用 gem list -i "^asciidoc" 來顯示所有名稱以 asciidoc 開頭的模塊。

2.檢查版本號。如果Asciidoc-include-ext 版本< 0.4.0則表明存在此漏洞。

 

0x03 參考鏈接

https://github.com/jirutka/asciidoctor-include-ext/security/advisories/GHSA-v222-6mr4-qj29

https://nakedsecurity.sophos.com/2022/04/08/popular-ruby-asciidoc-toolkit-patched-against-critical-vuln-get-the-update-now/

https://nvd.nist.gov/vuln/detail/CVE-2022-24803

 

0x04 版本信息

版本

日期

修改內容

V1.0

2022-04-11

首次發布

 

0x05 附錄

公司簡介

啟明星辰公司成立于1996年,并于2010年6月23日在深交所中小板正式掛牌上市,是國內極具實力的、擁有完全自主知識產權的網絡安全產品、可信安全管理平臺、安全服務與解決方案的綜合提供商。

公司總部位于北京市中關村軟件園,在全國各省、市、自治區設有分支機構,擁有覆蓋全國的渠道體系和技術支持中心,并在北京、上海、成都、廣州、長沙、杭州等多地設有研發中心。

多年來,啟明星辰致力于提供具有國際競爭力的自主創新的安全產品和最佳實踐服務,幫助客戶全面提升其IT基礎設施的安全性和生產效能,為打造和提升國際化的民族信息安全產業領軍品牌而不懈努力。


關于我們

啟明星辰安全應急響應中心主要針對重要安全漏洞的預警、跟蹤和分享全球最新的威脅情報和安全報告。

關注以下公眾號,獲取全球最新安全資訊:

image.png

 

上一篇 下一篇