کشف آسیب‌پذیری در Rust standard library

کشف آسیب‌پذیری در Rust standard library

تاریخ ایجاد

یک آسیب پذیری با شناسه CVE-2024-24576 و شدت بحرانی (10) در Rust standard library کشف شده است. این نقص به دلیل تنظیم نادرست آرگومان هنگام اجرای فایل‌های batch با پسوند  `bat.` یا  `cmd.`  در ماژول 'Command' Rust رخ داده است که به مهاجمان اجازه اجرای دستورات دلخواه shell را می‌دهد.
بر اساس بردار حمله این آسیب‌پذیری CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی  نیاز  نیست(AC:L)، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل کاربر نیاز ندارد (UL:N)، بهره‌برداری از آسیب‌پذیری مذکور بر سایر منابع امنیتی تأثیر می‌گذارد (S: C) و هر سه ضلع امنیت با شدت زیادی تحت تأثیر قرار می‌گیرند (C:H/I:H/A:H).


محصولات تحت تأثیر
این آسیب‌پذیری نسخه‌های قبل از  1.77.2 را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
توصیه می‌شود کاربران نسخه مورد استفاده خود را در اسرع وقت به نسخه 1.77.2 به‌روزرسانی کنند.

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-24576