CVE-2023-38497

ALT: (7,8)

CVSS3: 6,8

Rust podria permetre a un atacant local autenticat executar codi arbitrari al sistema, degut a no respectar l’umask en extreure paquets al Cargo. Mitjançant l’ús d’un crate especialment dissenyat, un atacant podria aprofitar aquesta vulnerabilitat per substituir o modificar el codi font d’una dependència per executar codi arbitrari al sistema.

Sistemes Afectats

• Rust Rust 1.71.0

Remediació
Actualitzeu a l’última versió de Rust (1.71.1 o posterior), disponible al repositori GIT de Rust. Per més informació, podeu consultar l’apartat de les referències.

Referències

• https://seclists.org/oss-sec/2023/q3/90
• https://github.com/rust-lang/wg-security-response/tree/main/patches/CVE-2023-38497
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-38497