Windows Livebook Uzaktan Kod Çalıştırma Zafiyeti

Windows Livebook Uzaktan Kod Çalıştırma Zafiyeti

Livebook bilgisayar üzerinden ortaklaşa ve interaktif kod yazma amaçlı geliştirilmiş bir web uygulamasıdır.

29 Haziran tarihinde yayınlanan zafiyet raporuna göre Windows’da, Livebook Desktop u çalıştıran bir arama motorundan `livebook://` linki açılabilmekte ve bu durum kullanıcının bilgisayarında uzaktan kod çalıştırmayı tetiklemektedir. Windows üzerinde Livebook masaüstü uygulamasını kullanan herkes potansiyel olarak bu zafiyetten etkilenmektedir. Bu zafiyet versiyon 0.8.2 ve 0.9.3 için giderilmiştir. (CVE-2023-35174)

Etkilenen Sistemler

Configuration 1
cpe:2.3:a:livebook:livebook:*:*:*:*:*:*:*:*From (including) 0.8.0 Up to (excluding) 0.8.2
cpe:2.3:a:livebook:livebook:*:*:*:*:*:*:*:*From (including) 0.9.0 Up to (excluding) 0.9.3


Running on/with
cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*

IoC’ler

-

Çözüm Önerileri

-

Tedbirler

-

CVE / CWE

CVE-2023-35174

Ek Bilgiler

• https://nvd.nist.gov/vuln/detail/CVE-2023-35174
• https://github.com/livebook-dev/livebook/commit/2e11b59f677c6ed3b6aa82dad412a8b3406ffdf1
• https://github.com/livebook-dev/livebook/commit/beb10daaadcc765f0380e436bd7cd5f74cf086c8
• https://github.com/livebook-dev/livebook/releases/tag/v0.8.2
• https://github.com/livebook-dev/livebook/releases/tag/v0.9.3
• https://github.com/livebook-dev/livebook/security/advisories/GHSA-564w-97r7-c6p9

* CVSS 3.1 skoru (10 üzerinden) 7.0-8.9 olanlar “yüksek”, 9.0-10.0 olanlar “kritik” zafiyet olarak değerlendirilmektedir.