Se han revelado múltiples vulnerabilidades de inyección SQL en Gentoo Soko que podrían conducir a la ejecución remota de código (RCE) en sistemas vulnerables.
«Estas inyecciones de SQL ocurrieron a pesar del uso de una biblioteca de mapeo relacional de objetos (ORM) y declaraciones preparadas», dijo el investigador de SonarSource, Thomas Chauchefoin. dichoagregando que podrían resultar en RCE en Soko debido a una «configuración incorrecta de la base de datos».
El dos asuntos, que se descubrieron en la función de búsqueda de Soko, se han rastreado colectivamente como CVE-2023-28424 (puntuación CVSS: 9,1). Se abordaron dentro de las 24 horas posteriores a la divulgación responsable el 17 de marzo de 2023.
Soko es un módulo de software Go que alimenta paquetes.gentoo.orgofreciendo a los usuarios una manera fácil de buscar a través de diferentes paquetes de Portage que están disponibles para la distribución de Gentoo Linux.
Pero las deficiencias identificadas en el servicio significaron que podría haber sido posible que un actor malintencionado inyectar código especialmente diseñadolo que resulta en la exposición de información sensible.
«Las inyecciones de SQL eran explotables y tenían la capacidad de revelar la versión del servidor PostgreSQL y ejecutar comandos arbitrarios en el sistema», dijo SonarSource.
El desarrollo llega meses después de SonarSource descubierto una falla de secuencias de comandos entre sitios (XSS) en una suite comercial de código abierto llamada Odoo que podría explotarse para hacerse pasar por cualquier víctima en una instancia vulnerable de Odoo, así como para extraer datos valiosos.
A principios de este año, también se revelaron debilidades de seguridad en software de código abierto como Pretalx y OpenEMR eso podría allanar el camino para que los atacantes remotos ejecuten código arbitrario.