PT-2021-19866 · Ballerina · Ballerina
Publicado
2021-06-22
·
Atualizado
2021-06-29
·
CVE-2021-32700
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões 1.2.x a 1.2.13 do Ballerina
Versões do Ballerina SL até a alpha 3
Descrição
O Ballerina é uma linguagem de programação e plataforma de código aberto para programadores de aplicativos em nuvem. A vulnerabilidade permite um ataque à cadeia de suprimentos via Man-in-the-Middle (MiTM) contra os usuários. As conexões HTTP não utilizavam TLS e a verificação de certificados era ignorada, permitindo que um invasor substituísse ou modificasse pacotes recuperados do BC, possibilitando assim a injeção de código malicioso nos executáveis do Ballerina.
Recomendações
Para as versões 1.2.x a 1.2.13 do Ballerina, atualize para o Ballerina 1.2.14 para resolver o problema.
Para as versões do Ballerina SL até a alpha 3, atualize para o Ballerina SwanLake alpha4 para resolver o problema.
Correção
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ballerina