一、 漏洞 CVE-2024-45798 基础信息
漏洞标题
多重中毒管道执行(PPE)漏洞
来源:AIGC 神龙大模型
漏洞描述信息
Arduino-esp32是为ESP32、ESP32-S2、ESP32-S3、ESP32-C3、ESP32-C6和ESP32-H2微控制器设计的Arduino核心。`arduino-esp32`的持续集成(CI)系统存在多个中毒管道执行(PPE)漏洞。在`tests_results.yml`工作流中存在代码注入问题(GHSL-2024-169)和环境变量注入问题(GHSL-2024-170)。这些问题已经得到了解决,但建议用户验证下载的软件包内容。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
对生成代码的控制不恰当(代码注入)
来源:AIGC 神龙大模型
漏洞标题
Multiple Poisoned Pipeline Execution (PPE) vulnerabilities
来源:美国国家漏洞数据库 NVD
漏洞描述信息
arduino-esp32 is an Arduino core for the ESP32, ESP32-S2, ESP32-S3, ESP32-C3, ESP32-C6 and ESP32-H2 microcontrollers. The `arduino-esp32` CI is vulnerable to multiple Poisoned Pipeline Execution (PPE) vulnerabilities. Code injection in `tests_results.yml` workflow (`GHSL-2024-169`) and environment Variable injection (`GHSL-2024-170`). These issue have been addressed but users are advised to verify the contents of the downloaded artifacts.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
输入验证不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
arduino-esp32 操作系统命令注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
arduino-esp32是Espressif开源的一个用于 ESP32、ESP32-S2、ESP32-S3、ESP32-C3、ESP32-C6 和 ESP32-H2 的 Arduino 内核。 arduino-esp32 26db8cba32e77050f177e8cb0f879614c57bc5f2版本存在操作系统命令注入漏洞,该漏洞源于tests_results.yml工作流中的代码注入和环境变量注入。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-45798 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-45798 的情报信息

  • 标题: Keeping your GitHub Actions and workflows secure Part 2: Untrusted input | GitHub Security Lab -- 🔗来源链接

    标签: x_refsource_MISC

    Keeping your GitHub Actions and workflows secure Part 2: Untrusted input | GitHub Security Lab

  • 标题: Keeping your GitHub Actions and workflows secure Part 1: Preventing pwn requests | GitHub Security Lab -- 🔗来源链接

    标签: x_refsource_MISC

    Keeping your GitHub Actions and workflows secure Part 1: Preventing pwn requests | GitHub Security Lab

  • 标题: Multiple Poisoned Pipeline Execution (PPE) vulnerabilities · Advisory · espressif/arduino-esp32 · GitHub -- 🔗来源链接

    标签: x_refsource_CONFIRM

    神龙速读
    Multiple Poisoned Pipeline Execution (PPE) vulnerabilities · Advisory · espressif/arduino-esp32 · GitHub

  • 标题: Expression injection in Actions — CodeQL query help documentation -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    Expression injection in Actions — CodeQL query help documentation

  • 标题: arduino-esp32/.github/workflows/tests_results.yml at 690bdb511d9f001e2066da2dda2c631a3eee270f · espressif/arduino-esp32 · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    arduino-esp32/.github/workflows/tests_results.yml at 690bdb511d9f001e2066da2dda2c631a3eee270f · espressif/arduino-esp32 · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2024-45798