PT-2021-19909 · Manageiq · Manageiq
Gregg Tanzillo
+1
·
Publicado
2021-07-21
·
Atualizado
2025-07-29
·
CVE-2021-32756
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do ManageIQ anteriores à jansa-4
Versões do ManageIQ anteriores à kasparov-2
Versões do ManageIQ anteriores à lasker-1
Descrição
O problema está relacionado a uma falha no módulo MiqExpression, na qual um usuário com privilégios limitados poderia inserir uma string Ruby maliciosa que seria avaliada, permitindo que um invasor executasse código arbitrário com privilégios de root no sistema host.
Recomendações
Para versões anteriores à jansa-4, atualize para a jansa-4 ou posterior.
Para versões anteriores ao kasparov-2, atualize para o kasparov-2 ou posterior.
Para versões anteriores ao lasker-1, atualize para o lasker-1 ou posterior.
Como solução alternativa temporária, considere restringir os usuários, por meio do RBAC, apenas à parte do aplicativo à qual eles precisam ter acesso, para limitar a superfície de ataque.
Correção
Code Injection
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Manageiq