PT-2021-11235 · Unknown+2 · Vela Compiler+2
Matt-Fevold
+1
·
Publicado
2021-01-04
·
Atualizado
2024-08-21
·
CVE-2020-26294
CVSS v3.1
7.4
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N |
**Nome do software vulnerável e versões afetadas:
Versões do Vela anteriores à 0.6.1
Versões do compilador Vela anteriores à 0.6.1
Descrição:
A vulnerabilidade permite a exposição da configuração do servidor, afetando todos os usuários do Vela. Um invasor pode usar a função
env do Sprig para recuperar informações de configuração. Isso pode ser feito por meio da funcionalidade de modelos de pipeline. Por exemplo, usando a função env em um modelo para exibir informações confidenciais, como VELA SOURCE CLIENT ou VELA SECRET.Recomendações:
Para versões anteriores à 0.6.1, atualize para a versão 0.6.1.
Alterne todos os segredos para minimizar o risco de exploração.
Como solução alternativa temporária, considere restringir o uso da função
env do Sprig em modelos de pipeline até que o problema seja resolvido.Exploit
Correção
Information Disclosure
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Sprig
Vela
Vela Compiler