.

آسیب‌پذیری RCE در Apache NetBeans

1399/6/29 شنبه
Apache NetBeans به منظور تجزیه و تحلیل پروژه‌های gradle، اسکریپت‌های build را اجرا می‌کند. این امر باعث می‌شود که کد اسکریپت build در زمان بارگذاری پروژه فراخوانی شود. Apache NetBeans جهت تجزیه و تحلیل پروژه در زمان بارگیری از کاربر درخواست رضایت نمی‌کند و این امر منجر به اجرای یک کد دلخواه مخرب از یک منبع خارجی خواهد شد.

شناسه و شدت آسیب‌پذیری

CVE-2020-11986

شدت آسیب‌پذیری (بر اساس CVSS 3.1)

بحرانی: امتیاز 9.8 از 10

کلیات

Apache NetBeans به منظور تجزیه و تحلیل پروژههای gradle، اسکریپت‌های build را اجرا می‌کند. این امر باعث می‌شود که کد اسکریپت build در زمان بارگذاری پروژه فراخوانی شود. Apache NetBeans جهت تجزیه و تحلیل پروژه در زمان بارگیری از کاربر درخواست رضایت نمی‌کند و این امر منجر به اجرای یک کد دلخواه مخرب از یک منبع خارجی خواهد شد.

سامانه‌ها/خدمات تحت تأثیر

Apache NetBeans نسخه‌های 12.0 و پیش از آن

روش بهره‌برداری

منتشر نشده است.

روش شناسایی

روش شناسایی عملی برای تشخیص این آسیب‌پذیری وجود ندارد و شناسایی سیستم‌های آسیب‌پذیر تنها بر اساس CPE صورت می‌گیرد.

روش‌های کاهش/ رفع

جهت کاهش این آسیب‌پذیری تنها باید پروژه‌های gradle قابل اطمینان با NetBeans بازگشایی شوند. همچنین به کاربران توصیه می‌شود NetBeans خود را به نسخه –ul 12.0 به‌روزرسانی نمایند.

منابع و مراجع

[1]

https://seclists.org/oss-sec/2020/q3/156

[2]

https://www.cybersecurity-help.cz/vdb/SB2020090901

[3]

https://nvd.nist.gov/vuln/detail/CVE-2020-11986

[4]

https://www.cyberdetails.org/2020/09/cve-2020-11986.html

منبع :


نسخه قابل چاپ
بيشتر
درگاه ها و پورتال ها ی معتبر
.
آخرین رویدادها