Vigil@nce - ungit : exécution de code via child_process.exec
août 2015 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut utiliser une vulnérabilité dans
child_process.exec de ungit, afin d’exécuter du code.
Produits concernés : Unix (plateforme) non exhaustif.
Gravité : 2/4.
Date création : 19/06/2015.
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit ungit dispose d’un service web.
Ungit utilise child_process.exec pour réaliser des commits de
code. Cependant, un mauvais filtrage permet l’injection de
commande.
Un attaquant peut donc injecter des commandes via
child_process.exec de ungit, afin d’exécuter du code.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/ungit-execution-de-code-via-child-process-exec-17183