關(guān)于Asciidoctor-include-ext命令注入漏洞的預(yù)警通報(bào)

Asciidoctor-include-ext組件存在命令注入漏洞，漏洞編號(hào)：CVE-2022-24803，漏洞威脅等級(jí)：嚴(yán)重。該漏洞是由于Asciidoctor-include-ext處理用戶輸入時(shí)存在安全問(wèn)題，攻擊者可利用該漏洞在未授權(quán)的情況下，構(gòu)造惡意數(shù)據(jù)執(zhí)行命令注入攻擊，最終獲取服務(wù)器最高權(quán)限。

Ascidoctor是一個(gè)用Ruby編寫(xiě)的快速、開(kāi)源的文本處理器和發(fā)布工具鏈。Asciidoctor-include-ext是對(duì)Asciidoctor的內(nèi)置（預(yù)處理）處理器的重新實(shí)現(xiàn)。

（一）漏洞影響范圍:

目前受影響的Asciidoctor-include-ext(RubyGems)版本：

Asciidoctor-include-ext(RubyGems)<0.4.0

（二）漏洞修復(fù)建議：

1.版本檢測(cè)：

先檢查有問(wèn)題的模塊，使用Gem軟件包管理器查看是否安裝了Asciidoc-include-ext。可以使用gemlist來(lái)顯示所有軟件包，或者使用gemlist-i"^asciidoc"來(lái)顯示所有名稱以asciidoc開(kāi)頭的模塊。之后檢查版本號(hào)，如果Asciidoc-include-ext版本<0.4.0則表明存在此漏洞。

2.官方解決方案：當(dāng)前官方已發(fā)布最新版本，建議受影響的用戶及時(shí)更新升級(jí)到最新版本。鏈接如下：

https://github.com/jirutka/asciidoctor-include-ext