Vulnérabilité d’injection de commande affectant l’outil find-exec

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine : bjCSIRT

Numéro : 2023/ALERTE/040

Date de l’alerte : 31/08/2023

APERÇU :

L’utilitaire find-exec est affecté par une vulnérabilité d’injection de commande ayant pour numéro d’identification (CVE-2023-40582).

DESCRIPTION :

Find-exec est un utilitaire qui permet de découvrir et d’exécuter des commandes shell à partir d’une interface utilisateur. Cela peut être particulièrement utile lorsque l’on travaille avec des systèmes Unix-like où les commandes shell jouent un rôle central dans l’interaction avec le système d’exploitation. 

Cependant, les versions précédentes de « find-exec » antérieures à la version 1.0.3 avaient un problème de sécurité. Elles ne parvenaient pas à échapper correctement les entrées de l’utilisateur. En d’autres termes, elles ne protégeaient pas suffisamment les entrées saisies par l’utilisateur contre des manipulations malveillantes. Cette vulnérabilité pouvait être exploitée par un attaquant pour effectuer ce que l’on appelle une « injection de commandes ». 

L’injection de commandes est une technique d’attaque où un attaquant insère intentionnellement des commandes malveillantes dans les données entrées par l’utilisateur. Dans ce cas, l’attaquant pourrait manipuler un paramètre contrôlé par l’utilisateur pour y insérer des commandes shell malveillantes. Si le logiciel ne traite pas correctement ces entrées et les exécute directement, cela pourrait permettre à l’attaquant d’exécuter des commandes malveillantes sur le système. 

La conséquence de cette vulnérabilité est que les attaquants pourraient potentiellement exécuter des commandes shell dangereuses dans le contexte du processus en cours. Cela signifie que les commandes malveillantes pourraient être exécutées avec les mêmes permissions et privilèges que l’utilisateur ou le processus qui utilise l’outil « find-exec« . Cela pourrait entraîner des actions non autorisées, des dommages au système, voire un accès complet au système pour l’attaquant. 

Cette vulnérabilité est de sévérité Critique avec un score de 9.8. 

IMPACT :

  • Accès à des données sensibles  ; 
  • Compromission du Système ; 
  • Prise de Contrôle du Système.

 

SYSTÈMES AFFECTÉS : 

Toutes les versions de find-exec antérieures à 1.0.3 

MESURES À PRENDRE : 

Effectuer une mise à jour vers la version find-exec 1.0.3 ou une version ultérieure 

REFERENCES :

 

Partagez sur vos réseaux.