CVE-2018-1000500
NiskieStreszczenie
Busybox zawiera lukę związaną z brakiem walidacji certyfikatu SSL w aplikacji 'busybox wget', co może prowadzić do wykonania dowolnego kodu. Atak można przeprowadzić, pobierając dowolny plik przez HTTPS za pomocą 'busybox wget'.
Ocena ryzyka
Luka ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonanie kodu poprzez pobieranie złośliwych plików. Może to prowadzić do kompromitacji systemów i danych.
Rekomendacja
Zaleca się aktualizację Busybox do najnowszej wersji, która zawiera poprawki dotyczące walidacji certyfikatów SSL. Należy również ograniczyć użycie 'busybox wget' do zaufanych źródeł.
Oryginalny opis (angielski, źródło NVD)
Busybox contains a Missing SSL certificate validation vulnerability in The "busybox wget" applet that can result in arbitrary code execution. This attack appear to be exploitable via Simply download any file over HTTPS using "busybox wget https://compromised-domain.com/important-file".

