One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8334410 |
| Date de publication | 2023-05-08 18:15:14 (vue: 2023-05-08 21:08:18) |
| Titre | CVE-2023-30844 |
| Texte | Mutagen fournit une synchronisation de fichiers en temps réel et un transfert de réseau flexible pour les développeurs.Avant les versions, 0,16,6 et 0,17.1 dans `mutagène» et avant la version 0.17.1 dans `Mutagen-Compose», les commandes «List» et «Monitor» mutagène sont susceptibles de contrôler les caractères qui pourraient être fournis par des paramètres distants.Cela pourrait provoquer une corruption terminale, intentionnelle ou involontaire, si ces caractères étaient présents dans des messages d'erreur ou des chemins / noms de fichiers.Cela pourrait être utilisé comme vecteur d'attaque si elle se synchronise avec un point de terminaison distant non fiable, la synchronisation des fichiers qui ne contrôlent pas l'utilisateur ou le transfert vers / depuis un point de terminaison distant non fiable.Sur des systèmes très anciens avec des terminaux susceptibles de problèmes tels que CVE-2003-0069, le problème pourrait théoriquement provoquer l'exécution du code.Le problème a été corrigé dans Mutagen V0.16.6 et V0.17.1.Les versions antérieures de Mutagen ne sont plus prises en charge et ne seront pas corrigées.Les versions de Mutagen après V0.18.0 auront également la fusion du patch.En tant que solution de contournement, éviter la synchronisation de fichiers non fiables ou l'interaction avec les critères d'évaluation distants non fiables devrait atténuer tout risque.
Mutagen provides real-time file synchronization and flexible network forwarding for developers. Prior to versions 0.16.6 and 0.17.1 in `mutagen` and prior to version 0.17.1 in `mutagen-compose`, Mutagen `list` and `monitor` commands are susceptible to control characters that could be provided by remote endpoints. This could cause terminal corruption, either intentional or unintentional, if these characters were present in error messages or file paths/names. This could be used as an attack vector if synchronizing with an untrusted remote endpoint, synchronizing files not under control of the user, or forwarding to/from an untrusted remote endpoint. On very old systems with terminals susceptible to issues such as CVE-2003-0069, the issue could theoretically cause code execution. The problem has been patched in Mutagen v0.16.6 and v0.17.1. Earlier versions of Mutagen are no longer supported and will not be patched. Versions of Mutagen after v0.18.0 will also have the patch merged. As a workaround, avoiding synchronization of untrusted files or interaction with untrusted remote endpoints should mitigate any risk. |
| Notes | |
| Envoyé | Oui |
| Condensat | 0069 2003 2023 30844 `list` `monitor` `mutagen `mutagen` after also any are attack avoiding been cause characters code commands compose` control corruption could cve developers earlier either endpoint endpoints error execution file files flexible forwarding has have intentional interaction issue issues longer merged messages mitigate mutagen network not old patch patched paths/names present prior problem provided provides real remote risk should such supported susceptible synchronization synchronizing systems terminal terminals theoretically these time to/from under unintentional untrusted used user vector version versions very will workaround |
| Tags | |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.