awkblog
awkblog copied to clipboard
Published
20 hours ago •
yammerjp
yammerjp
OS Command Injection Vulnerability in awkblog
awkblogにおける、OSコマンドインジェクションの脆弱性
公開日: 2024/05/22
English: https://github.com/yammerjp/awkblog/issues/1#issuecomment-2128316538
gawkで実装されたWebアプリケーション awkblog の v0.0.1 において、第三者を含む外部からのHTTPリクエストに起因したOSコマンドインジェクションの脆弱性が判明しました。この脆弱性を悪用された場合、悪意のある第三者により、awkblogを実行するコンピュータ上で、任意のOSコマンドが実行される危険性があります。 以下に、詳細を示します。該当のバージョンを利用している場合は、修正したバージョンへ切り替えて、アプリケーションを実行してください。
脆弱性に該当する製品名およびバージョン
- 製品名: awkblog (https://github.com/yammerjp/awkblog)
- 該当バージョン: v0.0.1 (commit hash: 7b761b192d0e0dc3eef0f30630e00ece01c8d552 以前のもの)
脆弱性の内容
特定のHTTPリクエストに起因し、OSコマンドインジェクションによるOSコマンド実行が可能である脆弱性。
脆弱性によって発生しうる影響
第三者を含む、WebアプリケーションへHTTPリクエストを発行可能な攻撃者の操作を元に、Webアプリケーションをホストするマシン上で、Webアプリケーションプロセスの実行権限において、任意コマンド実行が可能である。
脆弱性への対応方法と適用方法
パッチの適用されたバージョン v0.0.2 (commit hash: 13f62021258f7256f1567c4bb5fa6bddcfccde72) で、Webアプリケーションを起動する。
連絡先
本件につきまして、お問い合わせ等の内容があれば、以下の連絡先にご連絡ください。
メールアドレス: [email protected]
