Un chercheur travaillant avec le projet Formidable s’est battu contre l’attribution d’une entrée de vulnérabilité CVE par Mitre Corporation.

Formidable est un analyseur populaire, disponible sur GitHub, à utiliser pendant la production et dans les environnements sans serveur. Le module Node.js et la bibliothèque de logiciels sont open source.

La « vulnérabilité » était rendu public en mai et a été désigné comme CVE-2022–29622 avec un score de gravité CVSS « critique » de 9,8, proche du plus élevé possible. Une vidéo « exploit » a également été téléchargée sur Youtube.

Téléchargements par conception

CVE-2022-29622 est décrit comme une dangereuse faille de téléchargement arbitraire de fichiers dans Formidable version 3.1.4exploitable par des attaquants pour « exécuter du code arbitraire via un nom de fichier spécialement construit ».

Cependant, cette classification, ainsi que l’affectation CVE, est contestée – et cela a été reconnu dans la documentation CVE.

« Certains tiers contestent ce problème car le produit a des cas d’utilisation courants dans lesquels le téléchargement de fichiers arbitraires est le comportement souhaité », indique le dossier CVE de NVD.

« De plus, il existe des options de configuration dans toutes les versions qui peuvent modifier le comportement par défaut de la gestion des fichiers. »

A NE PAS MANQUER Des dizaines de sites Web à fort trafic vulnérables au « pré-piratage de compte », selon une étude

Dans un Article de blog moyen publié le 3 juin, le chercheur et co-fondateur de Guardara, Zsolt Imre, a publié une mise à jour d’un post précédent examinant le prétendu bogue, affirmant qu’il est « toujours convaincu que la bibliothèque Formidable n’a rien à voir avec ces problèmes ».

Imre a noté qu’une fonctionnalité permettant des téléchargements de fichiers arbitraires n’est pas nécessairement une vulnérabilité, selon le cas d’utilisation et si l’exécution de code suit ou non un téléchargement de fichier.

« Le code doit être exécuté pour que l’attaquant puisse interagir avec le shell Web », a commenté le chercheur. « Ainsi, l’attaquant doit trouver un processus qu’il peut convaincre de toucher au fichier téléchargé.

« Ce n’est pas n’importe quel genre de ‘toucher’ ! En fait, il doit être exécuté. Comme vous pouvez le voir, le contexte est essentiel ici.

« Revendications invalides »

Imre a poursuivi en disant que l’affirmation selon laquelle la vulnérabilité « permet aux attaquants d’exécuter du code arbitraire via un nom de fichier spécialement conçu » est incorrecte, car « la seule chose qui peut être vulnérable à cette vulnérabilité est quelque chose qui exécute du code arbitraire », ajoutant que le problème est hors de portée dans le cas de la bibliothèque de logiciels.

Le chercheur a déclaré qu’il serait plus exact de dire que Formidable autorise le téléchargement de fichiers arbitraires par défaut, mais cela ne signifie pas que cette fonctionnalité est une vulnérabilité en soi.

Si Fomidable était vulnérable à l’exécution de code arbitraire, il doit soit exécuter les fichiers téléchargés, soit autoriser l’exécution du contenu « automatiquement ou sur demande », a déclaré Imre.

Globalement, lorsque Formidable est un vecteur d’attaque autonome, il ne semble pas que la vulnérabilité soit valable, selon Imre. Bien que le professionnel de la sécurité dise que vous pourriez affirmer qu’il y avait un bogue ou une fonctionnalité mal implémentée en jeu, cela ne constitue pas une vulnérabilité ou un risque pour les utilisateurs.

« Formidable est faussement accusé d’être vulnérable », dit Imre. « Cette fausse accusation a gâché la libération de l’un de nos services sans raison valable. »

Parler à La gorgée quotidienne, Imre a déclaré qu’il avait été en contact avec Mitre pour demander la suppression de CVE. Mitre a renvoyé Imre à un commentaire réalisé par un Formidable contributeur, ‘GrosSacASac’, dans lequel ils mentionnaient « les conditions pour être vulnérable ».

Cependant, Imre a fait valoir que Mitre avait lu le commentaire « dans le mauvais sens et GrosSacASac ne faisait pas référence à la bibliothèque vulnérable dans certaines conditions, mais à une application qui utilise la bibliothèque d’une certaine manière ».

Le professionnel de la sécurité n’a pas encore reçu de communication de l’organisation et a publié des questions auxquelles GrosSacASac doit répondre, dans l’espoir de clarifier la situation.

Imré a commenté :

Si quelqu’un avait pris le temps de regarder le code et de voir quel était le comportement et la configuration par défaut de la bibliothèque, il deviendrait clair que GrosSacASac ne parlait pas de la formidable bibliothèque dans ce commentaire.

Malheureusement, il/elle n’a pas encore répondu. Je ne pense pas que Mitre mènera une enquête plus approfondie sur cette question tant que GrosSacASac n’aura pas répondu. Même dans ce cas, comme vous pouvez le voir, Mitre fonctionne apparemment sur la base d’opinions plutôt que sur des faits, nous ne pouvons donc qu’espérer le meilleur.

Imre a également publié un « défi » sur GitHub pour des tests supplémentaires de Formidable et si oui ou non le CVE a été correctement attribué.

Discutant de la question, un porte-parole de CVE a déclaré La gorgée quotidienne: « Le programme CVE dispose d’un processus documenté de contestation et d’appel. L’équipe CVE examine tous les litiges. Les enregistrements contestés sont marqués comme **DISPUTED** . Le dossier public est reflété pour inclure le raisonnement associé.

Cet article a été mis à jour pour inclure le commentaire de Mitre.

DES ARCHIVES Le programme CVE célèbre son 20e anniversaire alors que les vulnérabilités de sécurité enregistrées montent en flèche