W projekcie perf-ninja (moduł labs/misc/pgo/lua) odkryto podatność klasy Code Injection (CWE-94), umożliwiającą zdalne wykonanie dowolnego kodu bez jakiegokolwiek uwierzytelnienia. Ocena CVSS 10.0 czyni ją jedną z najpoważniejszych możliwych klas podatności.
▸ Pokaż oryginał (EN)
Improper Control of Generation of Code ('Code Injection') vulnerability in dendibakh perf-ninja (labs/misc/pgo/lua modules). This vulnerability is associated with program files ldo.C. This issue affects perf-ninja.
Podatność wynika z nieprawidłowej kontroli generowania kodu w pliku ldo.C, wchodzącym w skład modułu Lua projektu perf-ninja. Atakujący może dostarczyć specjalnie spreparowane dane wejściowe, które są następnie interpretowane i wykonywane jako kod — bez konieczności posiadania uprawnień ani interakcji ze strony użytkownika. Wektor sieciowy (AV:N) przy braku wymagań uwierzytelnienia (PR:N) i braku złożoności ataku (AC:L) oznacza, że exploit może być przeprowadzony zdalnie i w sposób powtarzalny.
Skuteczne wykorzystanie podatności pozwala atakującemu na pełne przejęcie kontroli nad systemem — włącznie z odczytem i modyfikacją danych oraz destabilizacją usług — zarówno w zakresie bezpośrednio atakowanego komponentu, jak i systemów powiązanych (wysoki wpływ na SC/SI/SA).
Należy zastosować patche dostępne u producenta zgodnie z referencjami — zmiany wprowadzone w ramach pull request #129 w repozytorium https://github.com/dendibakh/perf-ninja/pull/129.
Projekt perf-ninja autorstwa dendibakh — moduły labs/misc/pgo/lua; konkretne wersje wskazane w referencjach producenta (pull request #129 na GitHub).
Podatność dotyczy projektu open-source perf-ninja (narzędzie edukacyjne do optymalizacji wydajności). Wektor CVSS zawiera znacznik E:A (exploit aktywny), co sugeruje istnienie publicznego exploita — jednak pole CISA KEV wskazuje brak potwierdzenia aktywnej eksploatacji w środowiskach produkcyjnych.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:A/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:N/AU:Y/R:U/V:D/RE:L/U:Amber