Pedro Valverde Guimaraes

**Nome do software vulnerável e versões afetadas** Versões do Juju anteriores à 2.9.50 Versões do Juju 3.0.0 a 3.1.9 Versões do Juju 3.2.0 a 3.3.6 Versões do Juju 3.4.0 a 3.4.5 Versões do Juju 3.5.0 a 3.5.3 **Descrição** Foi descoberta uma falha no Juju que resultou no vazamento do ID de contexto confidencial, o que permite que um invasor local sem privilégios acesse outros dados confidenciais ou relações acessíveis ao charm local. Existe uma vulnerabilidade potencial em que um usuário pode executar um loop bash na tentativa de executar ferramentas de hook. Se isso ocorrer enquanto outro hook estiver em execução, registramos um erro com o ID de contexto, possibilitando que o usuário utilize esse ID com sucesso em uma chamada subsequente. Isso significa que um usuário sem privilégios pode acessar qualquer coisa disponível por meio de uma ferramenta hook, como configuração, dados de relação e segredos. **Recomendações** Para versões anteriores à 2.9.50, atualize para a versão 2.9.50 ou posterior. Para versões 3.0.0 a 3.1.9, atualize para a versão 3.1.9 ou posterior. Para as versões 3.2.0 a 3.3.6, atualize para a versão 3.3.6 ou posterior. Para as versões 3.4.0 a 3.4.5, atualize para a versão 3.4.5 ou posterior. Para as versões 3.5.0 a 3.5.3, atualize para a versão 3.5.3 ou posterior.