PT-2021-14352 · Onedev · Onedev

Pwntester

·

Publicado

2021-01-15

·

Atualizado

2021-01-21

·

CVE-2021-21242

CVSS v3.1

10

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N
**Nome do software vulnerável e versões afetadas:
Versões do OneDev anteriores à 4.0.3
Descrição:
O OneDev é uma plataforma DevOps completa. No OneDev, existe uma vulnerabilidade crítica que pode levar à execução remota de código sem autenticação prévia. O AttachmentUploadServlet deserializa dados não confiáveis do cabeçalho Attachment-Support e não aplica nenhuma verificação de autenticação ou autorização, o que pode levar à execução remota de código sem autenticação prévia.
Recomendações:
Para versões anteriores à 4.0.3, atualize para a versão 4.0.3 ou posterior, que remove o AttachmentUploadServlet e não utiliza mais a desserialização, corrigindo assim o problema.

Correção

Deserialization of Untrusted Data

Special Elements Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-502CWE-74

Identificadores relacionados

CVE-2021-21242
GHSA-5Q3Q-F373-2JV8

Produtos afetados

Onedev