CVE-2024-45798
KrytyczneStreszczenie
Kernela arduino-esp32 dla mikrokontrolerów ESP32 i pokrewnych jest podatny na wiele luk związanych z Wykonaniem Zatrutego Rurociągu (PPE). Występuje możliwość wstrzyknięcia kodu w workflow `tests_results.yml` oraz wstrzyknięcia zmiennych środowiskowych. Problemy te zostały rozwiązane, jednak użytkownicy powinni zweryfikować zawartość pobranych artefaktów.
Ocena ryzyka
Podatności te mogą prowadzić do nieautoryzowanego dostępu do systemu oraz potencjalnego wstrzyknięcia złośliwego kodu, co stwarza zagrożenie dla integralności i bezpieczeństwa aplikacji.
Rekomendacja
Zaleca się, aby użytkownicy dokładnie sprawdzili zawartość pobranych artefaktów oraz zaktualizowali swoje środowisko do najnowszej wersji, aby zminimalizować ryzyko związane z tymi lukami.
Oryginalny opis (angielski, źródło NVD)
arduino-esp32 is an Arduino core for the ESP32, ESP32-S2, ESP32-S3, ESP32-C3, ESP32-C6 and ESP32-H2 microcontrollers. The `arduino-esp32` CI is vulnerable to multiple Poisoned Pipeline Execution (PPE) vulnerabilities. Code injection in `tests_results.yml` workflow (`GHSL-2024-169`) and environment Variable injection (`GHSL-2024-170`). These issue have been addressed but users are advised to verify the contents of the downloaded artifacts.

