一、 漏洞 CVE-2024-42370 基础信息
漏洞标题
Litestar 在 `docs-preview.yml` 工作流程中易受到环境变量注入的影响
来源:AIGC 神龙大模型
漏洞描述信息
Litestar是一款异步服务器网关接口(ASGI)框架。在2.10.0及之前的版本中,Litestar的`docs-preview.yml`工作流程存在环境变量注入漏洞,可能导致机密数据泄露和仓库操纵。这一问题赋予了恶意行为者创建问题、读取元数据和编写拉取请求的权限。此外,`DOCS_PREVIEW_DEPLOY_TOKEN`被暴露给了攻击者。代码提交84d351e96aaa2a1338006d6e7221eded161f517b包含了修复此问题的补丁。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
输出中的特殊元素转义处理不恰当(注入)
来源:AIGC 神龙大模型
漏洞标题
Litestar repository vulnerable to Environment Variable injection in `docs-preview.yml` workflow
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Litestar is an Asynchronous Server Gateway Interface (ASGI) framework. In versions 2.10.0 and prior, Litestar's `docs-preview.yml` workflow is vulnerable to Environment Variable injection which may lead to secret exfiltration and repository manipulation. This issue grants a malicious actor the permission to write issues, read metadata, and write pull requests. In addition, the `DOCS_PREVIEW_DEPLOY_TOKEN` is exposed to the attacker. Commit 84d351e96aaa2a1338006d6e7221eded161f517b contains a fix for this issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Litestar 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Litestar是Litestar开源的一个强大、灵活但固执己见的 ASGI 框架。 Litestar 2.10.0版本及之前版本存在安全漏洞,该漏洞源于容易受到环境变量注入攻击,导致机密泄露和存储库操纵。此问题授予恶意行为者写入问题、读取元数据和写入拉取请求的权限。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-42370 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-42370 的情报信息

  • 标题: Environment Variable injection in `docs-preview.yml` workflow · Advisory · litestar-org/litestar · GitHub -- 🔗来源链接

    标签: x_refsource_CONFIRM

    神龙速读
    Environment Variable injection in `docs-preview.yml` workflow · Advisory · litestar-org/litestar · GitHub

  • 标题: Merge commit from fork · litestar-org/litestar@84d351e · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    Merge commit from fork · litestar-org/litestar@84d351e · GitHub

  • 标题: Deploy documentation preview · litestar-org/litestar@ffaf561 · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    Deploy documentation preview · litestar-org/litestar@ffaf561 · GitHub

  • 标题: litestar/.github/workflows/docs-preview.yml at ffaf5616b19f6f0f4128209c8b49dbcb41568aa2 · litestar-org/litestar · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    litestar/.github/workflows/docs-preview.yml at ffaf5616b19f6f0f4128209c8b49dbcb41568aa2 · litestar-org/litestar · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2024-42370