PT-2021-23096 · Cwlviewer · Cwlviewer
Zhenfeng
·
Publicado
2021-10-01
·
Atualizado
2021-10-08
·
CVE-2021-41110
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do cwlviewer anteriores à 1.3.1
Descrição
O cwlviewer é um aplicativo web para visualizar e compartilhar fluxos de trabalho em Common Workflow Language. Ele contém uma vulnerabilidade relacionada à deserialização de dados não confiáveis. O construtor SnakeYaml, por padrão, permite que quaisquer dados sejam analisados. Para corrigir o problema, o objeto precisa ser criado com um objeto
SafeConstructor.Recomendações
Para versões anteriores à 1.3.1, instale o patch do commit número f6066f09edb70033a2ce80200e9fa9e70a5c29de, datado de 30/09/2021, que contém a correção para o problema ao criar o objeto com um objeto
SafeConstructor.Exploit
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cwlviewer