CVE-2024-49400
KrytyczneStreszczenie
Tacquito przed commit 07b49d1358e6ec0b5aa482fcd284f509191119e2 nieprawidłowo wykonywał dopasowania regex dla autoryzowanych poleceń i argumentów. Skonfigurowane dozwolone polecenia/argumenty miały wymagać dopasowania do całego ciągu, ale zamiast tego egzekwowały tylko dopasowanie do podciągu.
Ocena ryzyka
To może potencjalnie umożliwić wykonanie nieautoryzowanych poleceń, co stwarza poważne zagrożenie dla bezpieczeństwa systemu. Organizacja może być narażona na nieautoryzowany dostęp i działania w systemie.
Rekomendacja
Zaleca się aktualizację Tacquito do wersji zawierającej poprawkę po commit 07b49d1358e6ec0b5aa482fcd284f509191119e2. Należy również przeprowadzić audyt skonfigurowanych poleceń i argumentów w celu zapewnienia ich bezpieczeństwa.
Oryginalny opis (angielski, źródło NVD)
Tacquito prior to commit 07b49d1358e6ec0b5aa482fcd284f509191119e2 was not properly performing regex matches on authorized commands and arguments. Configured allowed commands/arguments were intended to require a match on the entire string, but instead only enforced a match on a sub-string. That would have potentially allowed unauthorized commands to be executed.

