网络安全
网络安全
关于Asciidoctor-include-ext命令注入漏洞的预警通报
Asciidoctor-include-ext组件存在命令注入漏洞,漏洞编号:CVE-2022-24803,漏洞威胁等级:严重。该漏洞是由于Asciidoctor-include-ext处理用户输入时存在安全问题,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行命令注入攻击,最终获取服务器最高权限。
Ascidoctor是一个用Ruby编写的快速、开源的文本处理器和发布工具链。Asciidoctor-include-ext是对Asciidoctor的内置(预处理)处理器的重新实现。
(一)漏洞影响范围:
目前受影响的Asciidoctor-include-ext(RubyGems)版本:
Asciidoctor-include-ext(RubyGems)<0.4.0
(二)漏洞修复建议:
1.版本检测:
先检查有问题的模块,使用Gem软件包管理器查看是否安装了Asciidoc-include-ext。可以使用gemlist来显示所有软件包,或者使用gemlist-i"^asciidoc"来显示所有名称以asciidoc开头的模块。之后检查版本号,如果Asciidoc-include-ext版本<0.4.0则表明存在此漏洞。
2.官方解决方案:当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://github.com/jirutka/asciidoctor-include-ext