PT-2020-13921 · Atlassian · Gajira-Comment Github Action
Jarlob
·
Publicado
2020-11-09
·
Atualizado
2020-11-18
·
CVE-2020-14189
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões anteriores à 2.0.2 da ação do GitHub “Atlassian gajira-comment”
Descrição
A vulnerabilidade permite que invasores remotos executem código arbitrário no contexto de um GitHub Runner ao criar um comentário em uma issue do GitHub especialmente criado para esse fim. Isso se deve a um problema na função
execute.Recomendações
Para versões anteriores à 2.0.2, atualize para a versão 2.0.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à função
execute até que um patch esteja disponível.Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Gajira-Comment Github Action