CVE-2021-22567

Bidirectional Override in Dart SDK

CVSS 4.6 MEDIUMEPSS 0.6%CWE-284

Em resumo

O SDK do Dart não trata corretamente caracteres Unicode especiais que invertem a direção do texto, permitindo que atacantes escondam código malicioso em arquivos que parecem inofensivos para revisores. Esse truque consegue enganar verificações de segurança porque o código aparenta ser seguro quando visualizado normalmente.

Detalhe técnico

Caracteres especiais de inversão bidirecional de Unicode (CWE-284) no código-fonte Dart podem ser compilados em comportamento executável diferente do que é renderizado visualmente nos editores, possibilitando ao atacante injetar lógica oculta que burla a revisão de código. A vulnerabilidade requer acesso ao código-fonte e desatenção do revisor, resultando em execução arbitrária de código através de apresentação enganosa da lógica do programa.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Bidirectional Unicode text can be interpreted and compiled differently than how it appears in editors which can be exploited to get nefarious code passed a code review by appearing benign. An attacker could embed a source that is invisible to a code reviewer that modifies the behavior of a program in unexpected ways.

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:L

Produtos afetados

Google LLC · Dart SDK

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/dart-lang/sdk/blob/main/CHANGELOG.md https://github.com/dart-lang/sdk/commit/52519ea8eb4780c468c4c2ed00e7c8046ccfed41