Katalog CVE

CVE-2024-14010

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Typora w wersji 1.7.4 zawiera podatność na wstrzykiwanie poleceń w preferencjach eksportu PDF, co pozwala atakującym na wykonywanie dowolnych poleceń systemowych. Atakujący mogą wstrzykiwać złośliwe polecenia w polu 'uruchom polecenie' podczas eksportu PDF, co prowadzi do zdalnego wykonania kodu.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonywanie kodu na systemach użytkowników. Może to prowadzić do utraty danych, przejęcia kontroli nad systemem lub innych działań złośliwych.

Rekomendacja

Zaleca się aktualizację Typora do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, należy ograniczyć dostęp do funkcji eksportu PDF oraz monitorować systemy pod kątem nieautoryzowanych działań.

Oryginalny opis (angielski, źródło NVD)

Typora 1.7.4 contains a command injection vulnerability in the PDF export preferences that allows attackers to execute arbitrary system commands. Attackers can inject malicious commands into the 'run command' input field during PDF export to achieve remote code execution.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS