Vulnerabilità: CVE-2020-26222

Dependabot è un insieme di pacchetti per la gestione delle dipendenze automatizzata per Ruby, JavaScript, Python, PHP, Elixir, Rust, Java, .NET, Elm e Go. In Dependabot-core dalla versione 0.119.0.beta1 prima versione 0.125.1, c’è una vulnerabilità? In dependabot-comune e dependabot-go_modules quando un nome ramo sorgente contiene dannoso codice bash iniettabili. Ad esempio, se Dependabot è configurato per utilizzare il seguente nome ramo fonte: ""/$({curl,127.0.0.1})"", Dependabot farà una richiesta HTTP al seguente URL: 127.0.0.1 quando la clonazione del repository dei sorgenti. La correzione è stata applicata alla versione 0.125.1. Per risolvere il problema, si può sfuggire il nome del ramo prima di passarlo al Dependabot :: classe di origine.


https://github.com/dependabot/dependabot-core/security/advisories/GHSA-23f7-99jx-m54r
https://github.com/dependabot/dependabot-core/security/advisories/GHSA-23f7-99jx-m54r
https://github.com/dependabot/dependabot-core/commit/e089116abbe284425b976f7920e502b8e83a61b5
https://github.com/dependabot/dependabot-core/commit/e089116abbe284425b976f7920e502b8e83a61b5
https://github.com/dependabot/dependabot-core/pull/2727
https://github.com/dependabot/dependabot-core/pull/2727
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26222


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi