CVE-2024-50611

CycloneDX cdxgen through 10.10.7, when run against an untrusted codebase, may execute code contained within build-related files such as build.gradle.kts, a similar issue to CVE-2022-24441. cdxgen is used by, for example, OWASP dep-scan. NOTE: this has been characterized as a design limitation, rather than an implementation mistake.
Configurations

No configuration.

History

30 Oct 2024, 19:35

Type Values Removed Values Added
CWE CWE-94
CVSS v2 : unknown
v3 : unknown
v2 : unknown
v3 : 7.2

28 Oct 2024, 13:58

Type Values Removed Values Added
Summary
  • (es) Cuando se ejecuta CycloneDX cdxgen hasta la versión 10.10.7 contra una base de código no confiable, puede ejecutar código contenido en archivos relacionados con la compilación, como build.gradle.kts, un problema similar a CVE-2022-24441. Por ejemplo, OWASP dep-scan utiliza cdxgen. NOTA: esto se ha caracterizado como una limitación de diseño, en lugar de un error de implementación.

27 Oct 2024, 22:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-10-27 22:15

Updated : 2024-10-30 19:35


NVD link : CVE-2024-50611

Mitre link : CVE-2024-50611

CVE.ORG link : CVE-2024-50611


JSON object : View

Products Affected

No product.

CWE
CWE-94

Improper Control of Generation of Code ('Code Injection')