PT-2021-14353 · Onedev · Onedev
Pwntester
·
Publicado
2021-01-15
·
Atualizado
2021-01-21
·
CVE-2021-21243
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N |
**Nome do software vulnerável e versões afetadas:
Versões do OneDev anteriores à 4.0.3
Descrição:
O OneDev é uma plataforma DevOps completa. No OneDev, um endpoint REST do Kubernetes expõe dois métodos que deserializam dados não confiáveis do corpo da solicitação. Esses endpoints não aplicam nenhuma verificação de autenticação ou autorização. Essa falha pode levar a uma execução remota de código (RCE) antes da autenticação.
Recomendações:
Para versões anteriores à 4.0.3, atualize para a versão 4.0.3 ou posterior, que corrige o problema ao não utilizar a deserialização no lado do KubernetesResource. Como solução alternativa temporária, considere restringir o acesso ao endpoint REST do Kubernetes vulnerável até que a atualização seja aplicada.
Correção
Deserialization of Untrusted Data
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Onedev