PT-2021-4499 · Binderhub · Binderhub
Jose Carlos Luna Duran
+1
·
Publicado
2021-08-25
·
Atualizado
2022-10-25
·
CVE-2021-39159
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do BinderHub anteriores à 0.2.0-n653
Descrição
Foi identificada uma vulnerabilidade de execução remota de código no BinderHub, na qual o fornecimento de entradas maliciosamente criadas ao BinderHub poderia executar código no contexto do BinderHub, com o potencial de extrair credenciais da implantação do BinderHub, incluindo tokens da API do JupyterHub, contas de serviço do Kubernetes e credenciais do registro do Docker. Isso pode permitir a manipulação de imagens e outros pods criados pelo usuário na implantação, com potencial para escalar para o host, dependendo da configuração subjacente do Kubernetes.
Recomendações
Atualize para a versão 0.2.0-n653.
Como solução alternativa temporária, considere desativar o provedor de repositório Git especificando o
BinderHub.repo providers.Correção
OS Command Injection
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Binderhub