PT-2021-23239 · Sharetribe · Sharetribe Go
Wang Sheng
·
Publicado
2021-11-19
·
Atualizado
2021-11-24
·
CVE-2021-41280
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Sharetribe Go anteriores à 10.2.1
Descrição
O problema afeta o Sharetribe Go, um software de marketplace de código aberto, no qual é possível a injeção de comandos do sistema operacional em instalações que não tenham um token secreto de notificação do AWS Simple Notification Service (SNS) configurado por meio do parâmetro de configuração
sns notification token. Esse parâmetro está desativado por padrão.Recomendações
Para versões anteriores à 10.2.1, atualize para a versão 10.2.1 para resolver o problema.
Como solução alternativa temporária para usuários que não conseguem atualizar, defina o parâmetro de configuração
sns notification token com um valor secreto.Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sharetribe Go