CVE-2020-11009

Versões do Rundeck anteriores à 3.2.6

A vulnerabilidade permite que usuários autenticados criem uma solicitação que revele dados e registros de execução, bem como detalhes de tarefas, aos quais não têm autorização para acessar. Dependendo da configuração e da forma como o Rundeck é utilizado, isso pode resultar em um risco de gravidade alta ou, por outro lado, em um risco muito baixo. Se o acesso for rigidamente restrito e todos os usuários no sistema tiverem acesso a todos os projetos, isso não representa um grande problema. Se o acesso for mais amplo e permitir o login de usuários que não têm acesso a nenhum projeto, ou se o acesso aos projetos for restrito, o problema é maior. Se o acesso deve ser restrito e segredos, dados confidenciais ou propriedade intelectual forem expostos na saída de execução do Rundeck e nos dados da tarefa, o risco se torna muito maior. Um usuário autenticado poderia criar uma solicitação para visualizar Execuções e baixar logs de execução sem ter acesso para ler ou visualizar a Tarefa associada ou o recurso ad hoc. Algumas solicitações de API autenticadas não estavam verificando corretamente os níveis de autorização apropriados.

Atualize para a versão 3.2.6 do Rundeck para resolver o problema. Como solução temporária, considere restringir o acesso a dados confidenciais e propriedade intelectual expostos na saída de execução do Rundeck e nos dados da tarefa até que o patch seja aplicado. Restrinja o acesso às funções read e view para tarefas e recursos ad hoc a fim de minimizar o risco de exploração. Evite usar o acesso run