Formidable项目的开发者反对Mitre Corporation分配CVE漏洞条目

Formidable是一种流行的解析器,可在GitHub上获得,可在生产期间和无服务器环境中使用。Node.js模块和软件库是开源的。该“漏洞”于5月公开,被指定为CVE-2022-29622,其“严重”CVSS严重性评分为9.8,接近可能的最高值。一个“利用”视频也已上传到YouTube.

CVE-2022-29622在Formidable 3.1.4版本中被描述为一个危险的任意文件上传漏洞,攻击者可利用该漏洞“通过精心设计的文件名执行任意代码”。

但是,这种分类以及CVE分配存在争议——这已在CVE文档中得到承认。

NVD的CVE记录说:“一些第三方对这个问题提出异议,因为该产品具有上传任意文件是理想行为的常见用例。”

“此外,所有版本中都有配置选项可以更改文件处理方式的默认行为。”

在6月3日发表的一篇Medium博客文章中,项目维护者和Guardara的联合创始人Zsolt Imre发布了对先前文章的更新,该文章检查了所谓的错误,称他“仍然相信Formidable库与这些问题”。

Imre指出,允许任意文件上传的功能不一定是漏洞,这取决于用例以及代码执行是否遵循文件上传。

“必须执行代码,攻击者才能与web shell交互,”开发人员评论道。“因此,攻击者必须找到一个他/她可以说服的进程来触摸上传的文件。

“这不仅仅是任何一种‘触摸’!它实际上必须执行。正如你所看到的,这里的背景很重要。”

Imre继续说,该漏洞“允许攻击者通过精心制作的文件名执行任意代码”的说法是不正确的,因为“唯一容易受到此漏洞影响的是执行任意代码的东西”,并补充说该问题在软件库的情况下超出了范围。

开发者表示,更准确的说法是Formidable默认允许上传任意文件,但这并不意味着该功能本身就是一个漏洞。

如果 Fomidable 容易受到任意代码执行的影响,它必须要么执行上传的文件,要么允许“自动或按请求”执行内容,Imre说。

根据Imre的说法,总体而言,当Formidable是一个独立的攻击媒介时,该漏洞似乎并不有效。虽然维护者说您可能会争辩说存在错误或执行不善的功能,但这并不构成对用户的漏洞或风险。

“Formidable被错误地指责为脆弱,”伊姆雷说。“这种不实指控无缘无故地破坏了我们一项服务的发布。”

维护者在接受采访时表示,他已与Mitre联系,要求删除CVE。Miter将Imre提到了Formidable贡献者“GrosSacASac”的评论,其中他们提到了“易受攻击的条件”。

然而,Imre辩称Mitre阅读了评论“错误的方式,GrosSacASac并不是指库在某些条件下易受攻击,而是指以某种方式使用库的应用程序”。

维护者尚未收到该组织的进一步沟通,并已发布问题让GrosSacASa 回答,以期澄清情况。

发表评论

评论已关闭。

相关文章