یک آسیب پذیری با شناسه CVE-2024-24576 و شدت بحرانی (10) در Rust standard library کشف شده است. این نقص به دلیل تنظیم نادرست آرگومان هنگام اجرای فایلهای batch با پسوند `bat.` یا `cmd.` در ماژول 'Command' Rust رخ داده است که به مهاجمان اجازه اجرای دستورات دلخواه shell را میدهد.
بر اساس بردار حمله این آسیبپذیری CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) و نیازمند هیچ پیشزمینهای نبوده و بهراحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست(AC:L)، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل کاربر نیاز ندارد (UL:N)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر میگذارد (S: C) و هر سه ضلع امنیت با شدت زیادی تحت تأثیر قرار میگیرند (C:H/I:H/A:H).
محصولات تحت تأثیر
این آسیبپذیری نسخههای قبل از 1.77.2 را تحت تأثیر قرار میدهد.
توصیههای امنیتی
توصیه میشود کاربران نسخه مورد استفاده خود را در اسرع وقت به نسخه 1.77.2 بهروزرسانی کنند.
منبع خبر:
- 38