ASA-2019-00523 – Rexical, Nokogiri: Vulnerabilidade de injeção de comandos


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00523

Identificador(es)

ASA-2019-00523, CVE-2019-14809

Título

Vulnerabilidade de injeção de comandos

Fabricante(s)

Aaron Patterson, Mike Dalessio

Aaron Patterson, Mike Dalessio, Yoko Harada, Timothy Elliott, John Shahid, Akinori MUSHA

Produto(s)

Rexical

Nokogiri

Versão(ões) afetada(s)

Rexical gem versões v1.0.6 e anteriores

Nokogiri gem versões 1.10.3 e anteriores

Versão(ões) corrigida(s)

Rexical gem versão v1.0.7

Nokogiri gem versão 1.10.4

Prova de conceito

Desconhecido

Descrição

Uma vulnerabilidade de injeção de comando no Nokogiri v1.10.3 e versões anteriores permite que  comandos sejam executados em um subprocesso pelo método Kernel.open do Ruby. Os processos são vulneráveis somente se o método não documentado Nokogiri::CSS::Tokenizer#load_file está sendo passado entrada de dados do usuário não confiável.

Esta vulnerabilidade aparece no código gerado pelas versões da gem Rexical v1.0.6 e anteriores. O Rexical é usado pelo Nokogiri para gerar código léxico de scanner para realizar parsing consultas CSS.

Detalhes técnicos

Desconhecido

Solução Alternativa

Evitar utilizar o método não documentado Nokogiri::CSS::Tokenizer#load_file ou validar entrada de dados do usuário antes de usá-lo.

Créditos

Katsuhiko YOSHIDA

Referência(s)

Nokogiri security update v1.10.4
https://seclists.org/oss-sec/2019/q3/129

CVE-2019-5477 – Nokogiri Command Injection Vulnerability
https://github.com/sparklemotion/nokogiri/issues/1915

CHANGELOG.rdoc
https://github.com/tenderlove/rexical/blob/master/CHANGELOG.rdoc

CVE-2019-5477
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5477

CVE-2019-5477
https://nvd.nist.gov/vuln/detail/CVE-2019-5477

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 27 agosto 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.