Source |
CVE Liste |
Identifiant |
8397493 |
Date de publication |
2023-10-18 22:15:09 (vue: 2023-10-19 01:08:55) |
Titre |
CVE-2023-43801 |
Texte |
Arduino Create Agent est un package pour aider à gérer le développement d'Arduino.Cette vulnérabilité affecte le point de terminaison `/ v2 / pkgs / outils / installé` et la façon dont il gère les noms de plugin fournis comme entrée utilisateur.Un utilisateur qui a la possibilité d'effectuer des demandes HTTP à l'interface localhost ou qui est capable de contourner la configuration CORS, peut supprimer des fichiers ou des dossiers arbitraires appartenant à l'utilisateur qui exécute l'agent Arduino Create via une demande de suppression HTTP fabriquée.Ce problème a été résolu dans la version `1.3.3`.Il est conseillé aux utilisateurs de mettre à niveau.Il n'y a aucune solution de contournement connue pour ce problème.
Arduino Create Agent is a package to help manage Arduino development. This vulnerability affects the endpoint `/v2/pkgs/tools/installed` and the way it handles plugin names supplied as user input. A user who has the ability to perform HTTP requests to the localhost interface, or is able to bypass the CORS configuration, can delete arbitrary files or folders belonging to the user that runs the Arduino Create Agent via a crafted HTTP DELETE request. This issue has been addressed in version `1.3.3`. Users are advised to upgrade. There are no known workarounds for this issue. |
Envoyé |
Oui |
Condensat |
2023 43801 `/v2/pkgs/tools/installed` ability able addressed advised affects agent arbitrary arduino are been belonging bypass can configuration cors crafted create cve delete development endpoint files folders handles has help http input interface issue known localhost manage names package perform plugin request requests runs supplied upgrade user users version vulnerability way who workarounds |
Tags |
Vulnerability
|
Stories |
|
Notes |
|
Move |
|