Formidable 项目开发人员驳斥:MITRE 发的这个CVE漏洞纯属“碰瓷”
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Formidable 项目的开发人员就 Mitre 公司分配的一个CVE漏洞提出反对。
Formidable 是一款热门解析器,可从GitHub 下载,用于生产和无服务器环境中。其中Node.js模块和软件库是开源的。
该漏洞即CVE-2022-29622,在五月份公开,CVSS 评分为9.8,属于“严重”级别。目前已出现相关 exploit 演示视频。
上传是设计功能
CVE-2022-29622 被描述为位于Formidable 3.1.4 版本中的一个危险的任意文件上传缺陷,可被攻击者用于“通过构造的文件名称执行任意代码”。
然而,这种分类以及CVE编号存在争议,而这一点已在CVE文档中提到。CVE文档指出,“某些第三方对这个问题有争议,因为该产品的常见用例中上传任意文件是预期行为。另外,所有版本中都存在可更改默认文件处理行为的配置选项。”
6月3日,Formidable 项目维护人员兼Guardara 的联合创始人 Zsolt Imre 发布博客文章指出,他“仍然有信心认为Formidable 库和这些问题不存在任何关联。”Imre 指出允许任意文件上传的特性并不一定是漏洞,这取决于用例以及上传文件后是否会存在代码执行行为。
他表示,“攻击者要和 web shell 交互则必须执行代码。因此攻击者必须找到能够说服的流程来接触上传的文件。这并非任意‘接触’!实际上必须被执行才行。如你所见,上下文在这里至关重要。”
无效言论
Imre 继续说到,认为该漏洞“可导致攻击者通过构造文件名来执行任意代码”的言论是不正确的,因为“唯一受该漏洞影响的就是确实执行任意代码的情况”,指出该问题不属于软件库的情况。
Imre 指出,Formidable 允许默认上传任意文件的说法更为准确,但这并不意味着该功能本身就是漏洞。如果Formidable易受任意代码执行漏洞影响,则必须能够执行所上传的文件或者允许“自动或按要求”执行内容。
总的来说,Imre 认为当Formidable 是单独的攻击向量时,该漏洞并非有效漏洞。他表示,可以说它是一个bug 或实现不良的特性,但并构成漏洞或对用户带来风险。
Imre 表示,“Formidable 被错误地指控为易受攻击。这一错误指控不合理地打乱了其中一个服务的发布。”他指出正在和 Mitre 组织交涉撤下该CVE编号。Mitre 援引 Formidable 的一名贡献者 “GrosSacASac” 的“易受攻击的条件”予以回应。然而,Imre 指出,Mitre 对评论的理解“有误,GrosSacASac 指的并不是说该库在某些条件下易受攻击,而是说以某种方式使用该库的应用程序易受攻击。”目前,Mitre 并未给出进一步回应。
Imre 的评论
Imre 评论称,“如果任何人有时间查看下代码就会了解该默认行为以及该库的配置,就会十分清楚 GrosSacASac 在评论中并不是说的该库的情况。遗憾的是,他/她并未给出回应。我认为在 GrosSacASac 回应之前,Mitre 不会做进一步调查。即使在这种情况下,我们可以看到 Mitre 似乎是根据观点而非事实进行运营,所以我们只能自求多福。”
Imre 还在GitHub 发了一项“挑战”,内容和对Formidable 进行进一步测试以及该CVE编号是否被正确分配有关。
我们将进一步关注事态进展。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
价值4万美元的微软Azure漏洞 ExtraReplica,没有CVE编号
MITRE 发布“2021年最重要的硬件弱点”榜单
MITRE 发布2021 CWE Top 25 榜单
原文链接
https://portswigger.net/daily-swig/formidable-developer-fights-back-against-critical-cve-vulnerability-assignment
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
Formidable 项目开发人员驳斥:MITRE 发的这个CVE漏洞纯属“碰瓷”相关推荐
- 星球日报 | 英伟达70亿美元收购同行公司;XRPL Labs推出针对WooCommerce项目开发人员的奖励基金...
星球日报 英伟达斥资 70 亿美元收购同行 :BM: Facebook Coin 其实就像 PayPal 一样,他们 根本不明白:报告:在区块链.AI 和 5G 融合 的推动下,互联网将呈现新商业模式 ...
- web项目开发人员配比_我如何找到Web开发人员的第一份工作
web项目开发人员配比 I have always had an interest in coding for the web. I built my first site almost 15 yea ...
- web项目开发人员配比_Web设计人员和开发人员使用的前25个资源
web项目开发人员配比 Great designers and developers are looking every day for resources that can help them ac ...
- web项目开发人员配比_Web开发人员应该知道的10个别名
开发人员和精通技术的人总是被数字所吸引,因此,数字缩写或基于数字的单词很快就受到他们的喜爱,这是理所当然的. 缩写词被用来缩写长单词,这些单词太麻烦了以至于无法一直准确地键入 . 如果缩写同时包含字母 ...
- 【转】首次敏捷项目开发实践
首次采用敏捷方式进行开发,我想把我们的做法与大家分享下,同时希望大家指出我们的不足和需要改进的地方,让我们的项目进行的更顺利,目前项目已过三分之一,客户比较满意,还算顺利. 项目简介:一个DMS小项目 ...
- 小型软件项目开发流程探讨
一.导言 国内很多项目都是小型项目, 参与人员少(两到五个人), 要快速交付(一两个月) . 要成功完成这种项目, 除了使用成熟且被团队成员熟练使用的技术之外, 有一个良好的开发流程, 也是很必要 ...
- Windows下Git使用记录--03 Git GUI与金山快盘组建私人代码仓库进行项目开发
使用github进行开发的过程中会有一个问题,那就是github不能提供私人的代码仓库,也就是别人完全可以看到你的代码.如果不想别人看到自己的代码,那就得付费购买github的高级服务,或者通过金山快 ...
- 电商项目开发(系统功能分析、架构分析)
文章目录 电商行业特点 常见的三种电商模式 系统功能分析 项目开发人员分配 技术选型与开发环境 技术 开发环境 架构分析 集中式 分布式 电商行业特点 技术范围广 分布式(一件事,拆开来做,例如,定个 ...
- .NET开发人员值得关注的七个开源项目
微软近几年在.NET社区开源项目方面投入了相当多的时间和资源,不禁让原本对峙的开源社区阵营大吃一惊,从微软.NET社区中的反应来看,微软.NET开发阵营对开源工具的依赖正日益增强,本文就为所有.NET ...
最新文章
- 使用py2exe打包python脚本为exe可执行程序
- 电子科技学院计算机调剂,2020年电子科技大学电子科学技术研究院考研调剂信息...
- 【SQL Alchemy】AttributeError: '...' object has no attribute 'translate'错误的解决
- 励志!26岁单臂博士生:我想在科研的道路上发更多高质量论文
- 7月最新发布10.2.0.4.5 Patch Set Update
- 实现中文下的UITableView Index
- 详解 ASP.NET并行,异步,多线程
- 【Android自定义控件】仿京东首页的京东快报,自动向上滚动的广告条
- 电信光纤友华PT921G,烽火HG220光猫破解关闭自带路由改桥接拨号教程
- 吉他音阶训练——问题解答 (三)
- 为Dragonfly配置私有仓库
- 【警告】扣扣热键你了解多少
- 前程无忧、BOSS直聘、猎聘“抢”Z世代
- 小暑 |入伏前,这样做,宝宝长高高更聪明!
- 淘宝/天猫获取淘宝直播分类id接口 API 返回值说明
- CSTC2021 WriteUp
- 5注册激活_国家医保服务平台APP激活绑定流程
- JS、阻止 a 标签的默认点击事件,阻止默认的所有事件
- 小有成就感了 教会父母玩平板电脑
- (艾迪茉莉转圈圈~~找最小环)Circular Sequence UVA - 1584