Katalog CVE

CVE-2018-1000500

Niskie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Busybox zawiera lukę związaną z brakiem walidacji certyfikatu SSL w aplikacji 'busybox wget', co może prowadzić do wykonania dowolnego kodu. Atak można przeprowadzić, pobierając dowolny plik przez HTTPS za pomocą 'busybox wget'.

Ocena ryzyka

Luka ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonanie kodu poprzez pobieranie złośliwych plików. Może to prowadzić do kompromitacji systemów i danych.

Rekomendacja

Zaleca się aktualizację Busybox do najnowszej wersji, która zawiera poprawki dotyczące walidacji certyfikatów SSL. Należy również ograniczyć użycie 'busybox wget' do zaufanych źródeł.

Oryginalny opis (angielski, źródło NVD)

Busybox contains a Missing SSL certificate validation vulnerability in The "busybox wget" applet that can result in arbitrary code execution. This attack appear to be exploitable via Simply download any file over HTTPS using "busybox wget https://compromised-domain.com/important-file".

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS