严重 | Asciidoctor-include-ext命令注入漏洞
VSole2022-04-11 18:02:46
0x01、漏洞状态
漏洞细节 漏洞POC 漏洞EXP 在野利用 是 是 是 未知 |
0x02、漏洞描述
Ascidoctor是一个用 Ruby 编写的快速、开源的文本处理器和发布工具链。Asciidoctor-include-ext是对Asciidoctor的内置(预)处理器的重新实现,用于 include::[] 指令以可扩展和更简洁的方式。
2022年4月1日,研究人员公开了一个存在于asciidoctor-include-ext ( RubyGems ) 中的命令注入漏洞。漏洞编号:CVE-2022-24803,漏洞威胁等级:严重,漏洞评分:10.0。
Asciidoctor-include-ext命令注入漏洞
Asciidoctor-include-ext命令注入漏洞 漏洞编号 CVE-2022-24803 漏洞类型 命令注入 漏洞等级 严重(10.0) 公开状态 公开 在野利用 未知 漏洞描述 使用Asciidoctor (Ruby)和0.4.0版本之前的asciidoctor-include-ext的应用程序,在AsciiDoc标记中渲染用户提供的输入时,可能导致在主机上执行任意系统命令。 |
0x03、漏洞等级
严重(10.0)
0x04、影响版本
asciidoctor-include-ext ( RubyGems ) < 0.4.0
0x05、修复建议
厂商已发布补丁修复漏洞,用户请尽快更新至安全版本0.4.0,下载链接如下:
https://github.com/jirutka/asciidoctor-include-ext/tags
与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
VSole
网络安全专家