Informazioni sul CVE-2024-25129
Limited data exfiltration in CodeQL CLI
CWE ID: CWE-611
Base Score (CVSS): N/A
CVE: CVE-2024-25129
Descrizione: Il repository del codice QQL contiene binari per l’interfaccia a riga di comando del codice QQL (CLI). Prima di versione 2.16.3, un parser XML utilizzato dalla CLI per leggere vari file di supporto è vulnerabile a un attacco di Entity Esterna XML. Se un’istanza vulnerabile della CLI viene utilizzata per elaborare una database di codice QQL malevolmente modificato o un insieme specializzato di sorgenti QQL, la CLI può essere indotta a effettuare una richiesta HTTP a un URL che contiene materiale letto da un file locale scelto dall’attaccante. Ciò può portare alla perdita di privacy della divulgazione di segreti. Ricercatori di sicurezza e autori di QQL che ricevono database o sorgenti QQL da fonti non attendibili potrebbero essere colpiti. Un singolo file `.ql` o `.qll` non compromette un sistema, ma un archivio ZIP o tarball contenente sorgenti QQL può sbloccare file che innescano un attacco quando CodeQL vede i file nel sistema. Coloro che utilizzano CodeQL per l’analisi di sorgenti di alberi con un set predefinito di query selezionate sono al sicuro. In particolare, estrarre file XML da un albero di sorgenti in database del CodeQL non rende una istanza vulnerabile. Il problema è stato risolto nella versione 2.16.3 del codice QQL CLI. Altre soluzioni includono non accettare database o query di codice QQL da fonti non attendibili, o elaborare tali materiali solo su una macchina senza connessione Internet. I clienti che utilizzano versioni precedenti di CodeQL per la scansione della sicurezza in un sistema CI automatizzato e non possono aggiornare per conformità possono continuare a utilizzare quella versione. Questo caso è sicuro. Se tali clienti hanno una confezione di query privata e utilizzano il comando `codeql pack create` per precompilare prima di utilizzare in un sistema CI, dovrebbero utilizzare la versione di codice QQL di produzione per eseguire `codeql pack create`. Questo comando è sicuro purché la sorgente QQL precompilata sia affidabile. Tutte le altre sviluppi della confezione di query devono utilizzare la versione più recente del CLI.
Vettore di attacco CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:C/C:L/I:N/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Local, Privilegi: None, Interazione utente: Required, Confidenzialità: Low, Integrità: None, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | L | Local | L’attaccante deve avere accesso locale al sistema. |
| Attack Complexity (AC) | H | High | L’attacco richiede condizioni particolari o avanzate. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | R | Required | È richiesta l’interazione di un utente. |
| Scope (S) | C | Changed | La vulnerabilità impatta su componenti esterni. |
| Confidentiality Impact (C) | L | Low | Impatto limitato. |
| Integrity Impact (I) | N | None | Nessun impatto sull’integrità. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
- https://github.com/github/codeql-cli-binaries/security/advisories/GHSA-gf8p-v3g3-3wph
- https://github.com/github/codeql-cli-binaries/releases/tag/v2.16.3
- https://github.com/github/codeql/blob/main/java/ql/src/Security/CWE/CWE-611/XXELocal.ql
Prodotti interessati
- github – codeql-cli-binaries
Relazioni con altri prodotti
Produttore:github
Prodotto: codeql-cli-binaries
Anno: 2024
CWE: CWE-611
CVSS: 0.0