PT-2021-22395 · Rundeck · Rundeck
Fdevans
·
Publicado
2021-08-30
·
Atualizado
2021-09-08
·
CVE-2021-39133
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Rundeck anteriores à 3.3.14
Versões do Rundeck anteriores à 3.4.3
Descrição
O Rundeck é um serviço de automação de código aberto com um console web, ferramentas de linha de comando e uma WebAPI. Um usuário com acesso
admin ao tipo de recurso system está potencialmente vulnerável a um ataque CSRF que poderia fazer com que o servidor executasse código não confiável em todas as edições do Rundeck.Recomendações
Para versões anteriores à 3.3.14, atualize para a versão 3.3.14 ou posterior.
Para versões anteriores à 3.4.3, atualize para a versão 3.4.3 ou posterior.
Como solução temporária, considere restringir o acesso ao tipo de recurso
system para usuários com acesso admin até que um patch seja aplicado.Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Rundeck