Vulnérabilité de type injection de commandes dans l’API COMMAND de Rust sous Windows

Rust est un langage de programmation compilé, multi-paradigme qui met l’accent sur la performance, la sûreté des types et la concurrence. Command est une API de Rust permettant d’exécuter des processus externes, notamment des fichiers batch (.cmd, .bat) sur un système Windows.  

Cette API est affectée par une vulnérabilité libellée CVE-2024-24576. Son exploitation permettrait à un attaquant, de contrôler les arguments passés au processus batch, de contourner l’échappement et d’exécuter des commandes Shell arbitraires. Cette faille est due au filtrage et à l’échappement insuffisant des arguments par la bibliothèque standard de Rust lors de l’exécution de fichiers batch sous Windows. 

Cette vulnérabilité est classée critique avec un score de sévérité de 10

RISQUES DE SÉCURITÉ

  • Exécution de code arbitraire 
  • Accès non autorisé aux données 
  • Déni de services

SYSTÈMES AFFECTÉS

  • Les systèmes Windows utilisant les versions de Rust antérieures à la version 1.77.2. 

MESURES À PRENDRE 

  • Mettre à jour Rust vers la dernière version disponible. 


Source : bjCSIRT