CVE-2022-45639 – sleuthkit 4.11.1 - Command Injection

https://notcve.org/view.php?id=CVE-2022-45639

OS Command injection vulnerability in sleuthkit fls tool 4.11.1 allows attackers to execute arbitrary commands via a crafted value to the m parameter. NOTE: third parties have disputed this because there is no analysis showing that the backtick command executes outside the context of the user account that entered the command line. Vulnerabilidad de OS Command Injection en la herramienta sleuthkit fls versión 4.11.1 permite a atacantes ejecutar comandos arbitrarios a través de un valor manipulado en el parámetro m. NOTA: terceros han cuestionado esto porque no hay ningún análisis que muestre que el comando de acento grave se ejecute fuera del contexto de la cuenta de usuario que ingresó a la línea de comando. Sleuthkit version 4.11.1 suffers from a command injection vulnerability. • https://www.exploit-db.com/exploits/51225 http://packetstormsecurity.com/files/171649/Sleuthkit-4.11.1-Command-Injection.html http://www.binaryworld.it https://www.binaryworld.it/guidepoc.asp#CVE-2022-45639 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •