CVSS: 10.0EPSS: 47%CPEs: 3EXPL: 1CVE-2020-13802 – Rebar3 3.13.2 Command Injection
https://notcve.org/view.php?id=CVE-2020-13802
Rebar3 versions 3.0.0-beta.3 to 3.13.2 are vulnerable to OS command injection via URL parameter of dependency specification. Las versiones 3.0.0-beta.3 a la versión 3.13.2 de Rebar3 son vulnerables a la inyección de comandos del sistema operativo a través del parámetro URL de especificación de dependencia Rebar3 versions 3.0.0-beta.3 through 3.13.2 suffer from a command injection vulnerability. • http://packetstormsecurity.com/files/159027/Rebar3-3.13.2-Command-Injection.html https://github.com/vulnbe/poc-rebar3.git https://vuln.be/post/rebar3-command-injection • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2019-1000014
https://notcve.org/view.php?id=CVE-2019-1000014
Erlang/OTP Rebar3 version 3.7.0 through 3.7.5 contains a Signing oracle vulnerability in Package registry verification that can result in Package modifications not detected, allowing code execution. This attack appears to be exploitable via Victim fetches packages from malicious/compromised mirror. This vulnerability appears to have been fixed in 3.8.0. Erlang/OTP Rebar3, desde la versión 3.7.0 hasta la 3.7.5, contiene una vulnerabilidad de oráculo de firma en la verificación de registros de paquetes que puede resultar en que no se detecten modificaciones en los paquetes, lo que permite la ejecución de código. El ataque parece ser explotable mediante una víctima que recupere paquetes desde un mirror malicioso/comprometido. • https://github.com/erlang/rebar3/pull/1986 •