Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

OS Command Injection Vulnerability in awkblog #1

Open
yammerjp opened this issue May 21, 2024 · 2 comments
Open

OS Command Injection Vulnerability in awkblog #1

yammerjp opened this issue May 21, 2024 · 2 comments

Comments

@yammerjp
Copy link
Owner

yammerjp commented May 21, 2024
edited
Loading

awkblogにおける、OSコマンドインジェクションの脆弱性

公開日: 2024/05/22

English: #1 (comment)

gawkで実装されたWebアプリケーション awkblog の v0.0.1 において、第三者を含む外部からのHTTPリクエストに起因したOSコマンドインジェクションの脆弱性が判明しました。この脆弱性を悪用された場合、悪意のある第三者により、awkblogを実行するコンピュータ上で、任意のOSコマンドが実行される危険性があります。
以下に、詳細を示します。該当のバージョンを利用している場合は、修正したバージョンへ切り替えて、アプリケーションを実行してください。

脆弱性に該当する製品名およびバージョン

脆弱性の内容

特定のHTTPリクエストに起因し、OSコマンドインジェクションによるOSコマンド実行が可能である脆弱性。

脆弱性によって発生しうる影響

第三者を含む、WebアプリケーションへHTTPリクエストを発行可能な攻撃者の操作を元に、Webアプリケーションをホストするマシン上で、Webアプリケーションプロセスの実行権限において、任意コマンド実行が可能である。

脆弱性への対応方法と適用方法

パッチの適用されたバージョン v0.0.2 (commit hash: 13f6202) で、Webアプリケーションを起動する。

連絡先

本件につきまして、お問い合わせ等の内容があれば、以下の連絡先にご連絡ください。

メールアドレス: me@yammer.jp
@yammerjp yammerjp changed the title wip awkblogにおける、OSコマンドインジェクションの脆弱性 May 22, 2024
@yammerjp yammerjp changed the title awkblogにおける、OSコマンドインジェクションの脆弱性 Vulnerability: OS command injection in awkblog fixed on 2024/05/22 May 24, 2024
@yammerjp yammerjp changed the title Vulnerability: OS command injection in awkblog fixed on 2024/05/22 OS Command Injection Vulnerability in awkblog May 24, 2024
@yammerjp
Copy link
Owner Author

yammerjp commented May 24, 2024
edited
Loading

OS Command Injection Vulnerability in awkblog

Publication Date: 2024/05/22
(I added a supplement in the English version on May 24th.)

A vulnerability has been identified in version 0.0.1 of the Web application awkblog, implemented with gawk, which allows OS command injection via HTTP requests from external sources, including third parties. Exploiting this vulnerability could enable malicious actors to execute arbitrary OS commands on the computer running awkblog. The details are provided below. If you are using the affected version, please switch to the patched version and run the application.

Affected Product and Version

Details of the Vulnerability

This vulnerability allows OS command injection and execution of arbitrary OS commands triggered by specific HTTP requests.

Potential Impact of the Vulnerability

An attacker who can send HTTP requests to the Web application, including third parties, can execute arbitrary commands on the machine hosting the Web application with the application's process execution rights.

Measures and Application of the Fix

Start the Web application using the patched version v0.0.2 (commit hash: 13f6202).

Contact Information

If you have any inquiries or concerns regarding this matter, please contact us at the following email address:

Email: me@yammer.jp

@yammerjp
Copy link
Owner Author

本件は JVN#80506242 CVE-2024-36360 が発番されました

JVN#80506242 CVE-2024-36360 has been issued for this case.

https://jvn.jp/jp/JVN80506242/

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
1 participant
@yammerjp