【漏洞预警】Asciidoctor-include-ext 命令注入漏洞
1. 通告信息
近日,安识科技A-Team团队监测到一则 Asciidoctor-include-ext 组件存在命令注入漏洞的信息,漏洞编号:CVE-2022-24803,漏洞威胁等级:严重,该漏洞是由于 Asciidoctor-include-ext 处理用户输入时存在安全问题,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行命令注入攻击,导致在主机上执行任意系统命令。
对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击。
2. 漏洞概述
CVE-2022-24803
简述:Asciidoctor是Asciidoctor组织的一款使用Ruby编写的文本处理器。该产品支持将AsciiDoc内容转换成HTML5、DocBook等格式。
Asciidoctor-include-ext 0.4.0 之前的版本存在操作系统命令注入漏洞,该漏洞可能允许攻击者在主机操作系统上执行任意系统命令。
3. 漏洞危害
攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行命令注入攻击,导致在主机上执行任意系统命令。
4. 影响版本
目前受影响的版本:
Asciidoctor-include-ext ( RubyGems ) < 0.4.0
5. 解决方案
厂商已发布补丁修复漏洞,用户请尽快更新至安全版本 0.4.0,下载链接如下:https://github.com/jirutka/asciidoctor-include-ext/tags
6. 时间轴
【-】2022年4月20日 安识科技A-Team团队监测到Oracle Access Management漏洞信息。
【-】2022年4月20日 安识科技A-Team团队根据漏洞信息分析
【-】2022年4月21日 安识科技A-Team团队发布安全通告
