Hoverfly - это инструмент для симуляции API с открытым исходным кодом. В версиях 1.11.3 и более ранних функция middleware в Hoverfly уязвима к инъекции команд на эндпоинте /api/v2/hoverfly/middleware из-за недостаточной проверки и санитаризации пользовательского ввода. Уязвимость существует в API-эндпоинте /api/v2/hoverfly/middleware. Эта проблема возникает из-за трех недостатков в коде: недостаточной проверки ввода в middleware.go (строки 94-96), небезопасного выполнения команд в local_middleware.go (строки 14-19) и немедленного выполнения во время тестирования в hoverfly_service.go (строка 173). Это позволяет злоумышленнику получить удаленное выполнение кода (RCE) на любой системе, на которой запущена уязвимая версия Hoverfly. Поскольку входные данные напрямую передаются системным командам без надлежащей проверки, злоумышленник может загрузить вредоносный payload или напрямую выполнить произвольные команды на сервере с привилегиями процесса Hoverfly. Исправление доступно в коммите 17e60a9bc78826deb4b782dca1c1abd3dbe60d40 версии 1.12.0, где API set middleware по умолчанию отключен, и последующие изменения в документации предупреждают пользователей о последствиях включения этого API [1].

Источники:
- [1] https://github.com/SpectoLabs/hoverfly/security/advisories/GHSA-r4h8-hfp2-ggmf
- [2] https://github.com/SpectoLabs/hoverfly/commit/17e60a9bc78826deb4b782dca1c1abd3dbe60d40
- [3] https://github.com/SpectoLabs/hoverfly/commit/a9d4da7bd7269651f54542ab790d0c613d568d3e
- [4] https://github.com/SpectoLabs/hoverfly/blob/master/core/hoverfly_service.go#L173
- [5] https://github.com/SpectoLabs/hoverfly/blob/master/core/middleware/local_middleware.go#L13