Aviso sobre amenazas cibernéticas: vulnerabilidad de inyección de comandos del sistema operativo en Red Hat Enterprise Linux – BGD e-GOV CIRT
Se ha identificado una vulnerabilidad de inyección de comandos del sistema operativo en la utilidad «less», derivada del mal manejo de las comillas en `filename.c`. «menos» es un visor de archivos de texto similar a «más», pero permite a los usuarios avanzar y retroceder a través de los archivos. También se inicia más rápido que los editores de texto tradicionales porque no carga todo el archivo de entrada al inicio. Esta vulnerabilidad permite a los atacantes ejecutar comandos arbitrarios del sistema operativo abriendo archivos con nombres de archivo creados con fines malintencionados. El riesgo se ve aumentado por la variable de entorno LESSOPEN, establecida de forma predeterminada en muchas configuraciones, lo que aumenta la probabilidad de explotación. La explotación exitosa puede provocar acceso no autorizado, filtración de datos o comprometer todo el sistema, dependiendo de los privilegios del usuario cuando ejecuta «menos».