PT-2021-24142 · Unknown+1 · Stackstorm+1

Publicado

2021-12-15

Atualizado

2022-07-12

CVE-2021-44657

CVSS v2.0

9.0

Alta

Vetor

AV:N/AC:L/Au:S/C:C/I:C/A:C

**Nome do software vulnerável e versões afetadas:

Versões do StackStorm anteriores à 3.6.0

Descrição:

O problema decorre do fato de o interpretador Jinja não ser executado no modo sandbox, permitindo a execução de comandos de sistema não seguros. Isso ocorre porque o Jinja não habilita o modo sandbox por padrão, por motivos de compatibilidade com versões anteriores. No entanto, o StackStorm agora define o modo sandbox para o Jinja por padrão.

Recomendações:

Para versões anteriores à 3.6.0, atualize para a versão 3.6.0 ou posterior para habilitar o modo sandbox para o interpretador jinja por padrão.

Como solução temporária, considere configurar manualmente o interpretador jinja para ser executado no modo sandbox até que um patch esteja disponível.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Identificadores relacionados

CVE-2021-44657

Produtos afetados

Stackstorm

Jinja

PT-2021-24142 · Unknown+1 · Stackstorm+1

CVE-2021-44657

Identificadores relacionados

Produtos afetados

Referências · 7