正文

The Guild Graphql Tools 命令注入漏洞

admin
admin V管理员 /0 评论 /17 阅读
0422
此篇文章发布距今已超过1151天,您需要注意文章的内容或图片是否可用!

CVE编号

CVE-2021-23326

利用情况

暂无

补丁情况

N/A

披露时间

2021-01-21
漏洞描述
The Guild Graphql Tools是美国The Guild公司的一个可根据特定语法生成graphql查询语句的工具。
graphql-tools/git-loader 6.2.6版本之前存在命令注入漏洞,该漏洞源于在packages/loaders/git/src/load-git.ts中使用exec和execSync允许任意命令注入,攻击者可利用该漏洞注入任意命令。
解决建议
厂商已发布了漏洞修复程序,请及时关注更新:
https://github.com/ardatan/graphql-tools/commit/6a966beee8ca8b2f4adfe93318b96e4a5c501eac
参考链接
https://advisory.checkmarx.net/advisory/CX-2020-4300
https://github.com/ardatan/graphql-tools/commit/6a966beee8ca8b2f4adfe93318b96...
https://github.com/ardatan/graphql-tools/pull/2470
https://github.com/ardatan/graphql-tools/releases/tag/%40graphql-tools%2Fgit-...
https://snyk.io/vuln/SNYK-JS-GRAPHQLTOOLSGITLOADER-1062543
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 the-guild graphql-tools * Up to
(excluding)
6.2.6
CVSS3评分 8.8
  • 攻击路径 网络
  • 攻击复杂度 低
  • 权限要求 无
  • 影响范围 未更改
  • 用户交互 需要
  • 可用性 高
  • 保密性 高
  • 完整性 高
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CWE-ID 漏洞类型 CWE-77 在命令中使用的特殊元素转义处理不恰当(命令注入)