CVE-2022-4515

A flaw was found in Exuberant Ctags in the way it handles the "-o" option. This option specifies the tag filename. A crafted tag filename specified in the command line or in the configuration file results in arbitrary command execution because the externalSortTags() in sort.c calls the system(3) function in an unsafe way.
Configurations

Configuration 1 (hide)

cpe:2.3:a:exuberant_ctags_project:exuberant_ctags:*:*:*:*:*:*:*:*

Configuration 2 (hide)

cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*

History

21 Nov 2024, 07:35

Type Values Removed Values Added
References () https://lists.debian.org/debian-lts-announce/2022/12/msg00040.html - Mailing List, Third Party Advisory () https://lists.debian.org/debian-lts-announce/2022/12/msg00040.html - Mailing List, Third Party Advisory
References () https://sourceforge.net/p/ctags/code/HEAD/tree/tags/ctags-5.8/sort.c#l56 - Exploit, Third Party Advisory () https://sourceforge.net/p/ctags/code/HEAD/tree/tags/ctags-5.8/sort.c#l56 - Exploit, Third Party Advisory
Summary
  • (es) Se encontró una falla en Exuberant Ctags en la forma en que maneja la opción "-o". Esta opción especifica el nombre del archivo de etiqueta. Un nombre de archivo de etiqueta modificado especificado en la línea de comando o en el archivo de configuración da como resultado la ejecución de un comando arbitrario porque externalSortTags() en sort.c llama a la función system(3) de manera insegura.

Information

Published : 2022-12-20 19:15

Updated : 2025-04-14 19:15


NVD link : CVE-2022-4515

Mitre link : CVE-2022-4515

CVE.ORG link : CVE-2022-4515


JSON object : View

Products Affected

exuberant_ctags_project

  • exuberant_ctags

debian

  • debian_linux
CWE
CWE-78

Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')

NVD-CWE-noinfo