近日，安识科技A-Team团队监测到一则 Asciidoctor-include-ext 组件存在命令注入漏洞的信息，漏洞编号：CVE-2022-24803，漏洞威胁等级：严重，该漏洞是由于 Asciidoctor-include-ext 处理用户输入时存在安全问题，攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行命令注入攻击，导致在主机上执行任意系统命令。

对此，安识科技建议广大用户及时升级到安全版本，并做好资产自查以及预防工作，以免遭受黑客攻击。

CVE-2022-24803

简述：Asciidoctor是Asciidoctor组织的一款使用Ruby编写的文本处理器。该产品支持将AsciiDoc内容转换成HTML5、DocBook等格式。

Asciidoctor-include-ext 0.4.0 之前的版本存在操作系统命令注入漏洞，该漏洞可能允许攻击者在主机操作系统上执行任意系统命令。

攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行命令注入攻击，导致在主机上执行任意系统命令。

目前受影响的版本：

Asciidoctor-include-ext ( RubyGems ) < 0.4.0

厂商已发布补丁修复漏洞，用户请尽快更新至安全版本 0.4.0，下载链接如下：https://github.com/jirutka/asciidoctor-include-ext/tags

【-】2022年4月20日 安识科技A-Team团队监测到Oracle Access Management漏洞信息。

【-】2022年4月20日 安识科技A-Team团队根据漏洞信息分析

【-】2022年4月21日 安识科技A-Team团队发布安全通告

本文作者：安识科技

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/177594.html