[TLP:CLEAR] Emacs a Org Mode opravujú 1 kritickú zraniteľnosť
Emacs a Org Mode opravujú 1 kritickú zraniteľnosť. Emacs zraniteľnosť opravuje vo verzii 29.4 a Org Mode vo verzii 9.7.5 [1]. Záplata je dostupná na [2] a je aplikovatelná voči Org Mode Git repozitáru. Zraniteľnosť v Emacs zatiaľ opravil Slackware [3].
Neautentizovanému vzdialenému útočníkovi je umožnené vykonávať shell príkazy zaslaním elektronickej pošty obsahujúcej špeciálne vytvorený súbor typu ".org." Pre zneužitie zraniteľnosti je postačujúce, aby si obeť útoku zobrazila elektronickú poštu v náhlade pomocou aplikácie Emacs s Org Mode. K zraniteľnosti je dostupný aj PoC, ktorý je možné nájsť na [1].
Zraniteľnosť sa nachádza v produktoch:
- Emacs vo verziách <29.4
- Org Mode <9.7.5
Viac informácií:
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 23. 6. 2024.
Odkazy
Publikoval Martin Krajči dňa 24. 6. 2024.
