PT-2021-23071 · Nameko · Nameko
Masatoshi Yoshizawa
·
Publicado
2021-10-19
·
Atualizado
2021-10-29
·
CVE-2021-41078
CVSS v4.0
9.3
Crítica
| Vetor | AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H |
Nome do software vulnerável e versões afetadas
Versões do Nameko anteriores à 2.14.0
Versões do Nameko de v3.0.0rc0 a v3.0.0rc9
Descrição
A vulnerabilidade permite a execução de código arbitrário durante a desserialização do arquivo de configuração. Isso pode ser feito induzindo o Nameko a desserializar um arquivo de configuração YAML malicioso. Por exemplo, um arquivo malicious.yaml pode conter código que execute comandos do sistema, como
import (‘os’).system(‘cat /etc/passwd’). Isso pode levar à execução de comandos arbitrários do sistema.Recomendações
Para versões anteriores à 2.14.0, atualize para a versão 2.14.0 ou posterior para resolver o problema.
Para as versões v3.0.0rc0 a v3.0.0rc9, atualize para a v3.0.0rc10 ou posterior para resolver o problema.
Como solução alternativa temporária, considere usar apenas arquivos de configuração em que você confia para evitar a exploração.
Exploit
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Nameko