Quarkus - CVE-2022-4116
Date de publication :
Un défaut de contrôle de saisies dans l’interface utilisateur de développement Quarkus permet à un attaquant distant d’exécuter du code arbitraire sur le système.
Informations
La faille est activement exploitée : Non
Un correctif existe : Non
Une mesure de contournement existe : Oui
Exécution de code arbitraire.
Exploitation
La vulnérabilité exploitée est du type
CWE-94: Improper Control of Generation of Code ('Code Injection')
Détails sur l’exploitation
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Non.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Aucune.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Contournement provisoire
Si les correctifs ne peuvent être appliqués, l’éditeur recommande de générer un chemin aléatoire et de le renseigner dans la variable %dev.quarkus.http.non-application-root-path.
Des informations complémentaires sont disponibles sur le site de l’éditeur.
Solutions ou recommandations
Mettre à jour Quarkus vers les versions 2.13.5 ou 2.14.2.