CVE-2024-52011
WysokieCVSS 8.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 39 - wyżej niż 39% wszystkich znanych CVE
Streszczenie
Podatność w bibliotece launch-editor przed wersją 2.9.0 pozwala atakującemu na wykonanie dowolnych poleceń w systemie Windows poprzez podanie nazwy pliku zawierającej znaki specjalne. Problem wynika z niedostatecznego oczyszczania argumentu `file` w funkcji `launchEditor`. Luka została naprawiona w wersji 2.9.0 biblioteki launch-editor, odpowiadającej Vite 5.4.9.
Ocena ryzyka
Atakujący może zdalnie wykonać dowolne polecenia na serwerze z systemem Windows, co prowadzi do pełnego przejęcia kontroli nad aplikacją i potencjalnie całym systemem.
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę launch-editor do wersji 2.9.0 lub nowszej, a w przypadku korzystania z Vite do wersji 5.4.9 lub nowszej.
Oryginalny opis (angielski, źródło NVD)
launch-editor allows users to open files with line numbers in editor from Node.js. Prior to version 2.9.0, due to the insufficient sanitization of the `file` argument in the `launchEditor`, an attacker can execute arbitrary commands on Windows by supplying a filename that contains special characters. This issue has been fixed in the `launch-editor` version 2.9.0, corresponding to vite version 5.4.9.

