One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8378892 |
| Date de publication | 2023-09-04 18:15:09 (vue: 2023-09-04 21:07:02) |
| Titre | CVE-2023-41057 |
| Texte | Hyper-Bump-it est un outil de ligne de commande pour mettre à jour la version dans les fichiers de projet.`hyper-bump-it` lit un modèle de Glob de fichier à partir du fichier de configuration.Qui est combiné avec le répertoire racine du projet pour construire un modèle glob complet utilisé pour trouver des fichiers qui doivent être modifiés.Ces fichiers correspondants doivent être contenus dans le répertoire racine du projet, mais cela n'est pas vérifié.Cela pourrait entraîner des modifications écrites dans des fichiers en dehors du projet.Le comportement par défaut de «Hyper-Bump-it» consiste à afficher les modifications prévues et à inviter l'utilisateur à confirmer avant de modifier des fichiers.Cependant, le fichier de configuration fournit un champ qui peut être utilisé par la modification des fichiers sans affichage de l'invite.Ce problème a été résolu dans la version 0.5.1 de la version.Il est conseillé aux utilisateurs de mettre à niveau.Les utilisateurs qui ne sont pas en mesure de mettre à jour à partir de versions vulnérables, l'exécution de «Hyper-Bump-it» avec l'argument de la ligne de commande `` - interactive »garantira que toutes les modifications planifiées sont affichées et inviteront l'utilisateur à confirmer avant de modifier des fichiers, même si les modificationsLe fichier de configuration contient `show_confirm_prompt = true`.
hyper-bump-it is a command line tool for updating the version in project files.`hyper-bump-it` reads a file glob pattern from the configuration file. That is combined with the project root directory to construct a full glob pattern that is used to find files that should be edited. These matched files should be contained within the project root directory, but that is not checked. This could result in changes being written to files outside of the project. The default behaviour of `hyper-bump-it` is to display the planned changes and prompt the user for confirmation before editing any files. However, the configuration file provides a field that can be used cause files to be edited without displaying the prompt. This issue has been fixed in release version 0.5.1. Users are advised to upgrade. Users that are unable to update from vulnerable versions, executing `hyper-bump-it` with the `--interactive` command line argument will ensure that all planned changes are displayed and prompt the user for confirmation before editing any files, even if the configuration file contains `show_confirm_prompt=true`. |
| Envoyé | Oui |
| Condensat | 2023 41057 `hyper `show advised all any are argument been before behaviour being bump but can cause changes checked combined command configuration confirm confirmation construct contained contains could cve default directory display displayed displaying edited editing ensure even executing field file files find fixed from full glob has however hyper interactive` issue it` line matched not outside pattern planned project prompt prompt=true` provides reads release result root should these tool unable update updating upgrade used user users version versions vulnerable will within without written |
| Tags | Tool |
| Stories | |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.