GNU Emacs Errores de seguridad

Errores CVE de GNU Emacs

Vulnerabilidades CVE de GNU Emacs

21 de febrero del 2023

  • CVE-2022-48337: GNU Emacs hasta 28.2 permite a los atacantes ejecutar comandos a través de metacaracteres de shell en el nombre de un archivo de código fuente, porque lib-src/etags.c usa la función de biblioteca del sistema C en su implementación del programa etags. Por ejemplo, una víctima puede usar el comando "etags -u *" (sugerido en la documentación de etags) en una situación en la que el directorio de trabajo actual tiene contenidos que dependen de una entrada que no es de confianza.
  • CVE-2022-48338: Se descubrió un problema en GNU Emacs hasta 28.2. En ruby-mode.el, la función ruby-find-library-file tiene una vulnerabilidad de inyección de comando local. La función ruby-find-library-file es una función interactiva y está vinculada a Cc Cf. Dentro de la función, la gema de comando externa se llama a través de shell-command-to-string, pero los parámetros de nombre de función no se escapan. Por lo tanto, los archivos fuente maliciosos de Ruby pueden hacer que se ejecuten comandos.
  • CVE-2022-48339: Se descubrió un problema en GNU Emacs hasta 28.2. htmlfontify.el tiene una vulnerabilidad de inyección de comandos. En la función hfy-istext-command, el archivo de parámetros y el parámetro srcdir provienen de una entrada externa y los parámetros no se escapan. Si un nombre de archivo o nombre de directorio contiene metacaracteres de shell, se puede ejecutar el código.

Sitios de referencia

  • CVE-2022-48339 https://git.savannah.gnu.org/cgit/emacs.git/commit/?id=1b4dc4691c1f87fc970fbe568b43869a15ad0d4c
  • CVE-2022-48338 https://git.savannah.gnu.org/cgit/emacs.git/commit/?id=9a3b08061feea14d6f37685ca1ab8801758bfd1c
  • CVE-2022-48337 https://git.savannah.gnu.org/cgit/emacs.git/commit/?id=01a4035c869b91c153af9a9132c87adb7669ea1c

Otras paginas de vulnerabilidades CVE

¿Quieres encontrar más vulnerabilidades?.

Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️

Fecha actualización el 2023-02-24. Fecha publicación el 2023-02-24. Autor: Oscar olg Mapa del sitio Fuente: cve report