PT-2021-15547 · Celery+2 · Celery+2
Calum Hutton
·
Publicado
2021-12-29
·
Atualizado
2024-11-11
·
CVE-2021-23727
CVSS v4.0
7.7
Alta
| Vetor | AV:N/AC:H/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Celery anteriores à 5.2.2
Descrição
A vulnerabilidade ocorre porque o pacote confia, por padrão, nas mensagens e nos metadados armazenados nos backends, o que pode levar a uma vulnerabilidade de injeção de comando armazenada quando um invasor obtém acesso ou manipula os metadados dentro de um backend do Celery. Isso poderia permitir que o invasor obtivesse acesso adicional ao sistema.
Recomendações
Para versões anteriores à 5.2.2, atualize para a versão 5.2.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao backend para minimizar o risco de exploração. Evite usar a desserialização de metadados de tarefas do backend até que o problema seja resolvido.
Exploit
Correção
Command Injection
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Debian
Celery