Informazioni sul CVE-2022-46179

LiuOS vulnerable to Authorization Bypass through User-Controlled Key

CWE ID: CWE-639

Base Score (CVSS): N/A

CVE: CVE-2022-46179

Descrizione: LiuOS is a small Python project meant to imitate the functions of a regular operating system. Version 0.1.0 and prior of LiuOS allow an attacker to set the GITHUB_ACTIONS environment variable to anything other than null or true and skip authentication checks. This issue is patched in the latest commit (c658b4f3e57258acf5f6207a90c2f2169698ae22) by requiring the var to be set to true, causing a test script to run instead of being able to login. A potential workaround is to check for the GITHUB_ACTIONS environment variable and set it to “” (no quotes) to null the variable and force credential checks.

Vettore di attacco CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:L/I:H/A:H

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 9.2 (High)

Riassunto: Accesso: Local, Privilegi: None, Interazione utente: None, Confidenzialità: Low, Integrità: High, Disponibilità: High.

Dettaglio del Vettore

Metrica Valore Significato Descrizione
Attack Vector (AV) L Local L’attaccante deve avere accesso locale al sistema.
Attack Complexity (AC) L Low L’attacco non richiede condizioni particolari.
Privileges Required (PR) N None Non sono richiesti privilegi.
User Interaction (UI) N None Non è richiesta interazione dell’utente.
Scope (S) C Changed La vulnerabilità impatta su componenti esterni.
Confidentiality Impact (C) L Low Impatto limitato.
Integrity Impact (I) H High Grave impatto sull’integrità.
Availability Impact (A) H High Rende il sistema inutilizzabile.

Riferimenti esterni

Prodotti interessati

  • LiuWoodsCode – LiuOS

Relazioni con altri prodotti

Produttore:LiuWoodsCode
Prodotto: LiuOS
Anno: 2022
CWE: CWE-639
CVSS: 0.0

Ulteriori risorse disponibili