Vulnerabilidad en Arduino Create Agent (CVE-2023-43803)
Severidad:
ALTA
Type:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
18/10/2023
Última modificación:
08/11/2023
Descripción
Arduino Create Agent es un paquete para ayudar a gestionar el desarrollo de Arduino. Esta vulnerabilidad afecta el endpoint `/v2/pkgs/tools/installed` y la forma en que maneja los nombres de complementos proporcionados como entrada del usuario. Un usuario que tiene la capacidad de realizar solicitudes HTTP a la interfaz del host local, o que puede omitir la configuración CORS, puede eliminar archivos o carpetas arbitrarios que pertenezcan al usuario que ejecuta Arduino Create Agent a través de una solicitud HTTP POST manipulada. Este problema se solucionó en la versión "1.3.3". Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Impacto
Puntuación base 3.x
7.10
Severidad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:arduino:create_agent:*:*:*:*:*:go:*:* | 1.3.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/arduino/arduino-create-agent/releases/tag/1.3.3
- https://github.com/arduino/arduino-create-agent/security/advisories/GHSA-m5jc-r4gf-c6p8
- https://lists.debian.org/debian-lts-announce/2023/11/msg00005.html
- https://www.nozominetworks.com/blog/security-flaws-affect-a-component-of-the-arduino-create-cloud-ide