漏洞描述

LAVA 是 Linaro 自动化和验证架构，用于测试基于 Linux 内核在 ARM 设备上的系统部署，主要是 ARMv7 及更高版本。

LAVA 在 022.10之前的版本中由于输入清理不当从而存在远程代码执行漏洞。其原因为 lava_server/lavatable.py 中的exec 参数用于为表搜索创建查询参数，由于未对其进行过滤，攻击者可利用此漏洞传入恶意的exec 参数从而远程执行恶意代码。

影响范围

Linaro/lava@(-∞, 2022.10)

修复方案

升级Linaro/lava到 2022.10 或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2022-59746

https://nvd.nist.gov/vuln/detail/CVE-2022-42902

https://git.lavasoftware.org/lava/lava/-/commit/e66b74cd6c175ff8826b8f3431740963be228b52?merge_request_iid=1834

https://github.com/Linaro/lava

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式，发布开源项目最新的安全风险动态，包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务，社区用户可通过配置飞书、钉钉、企业微信机器人，及时获得一手情报信息推送：

https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见：

https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc