PT-2021-4860 · Unknown · Cron-Utils
Niels
+1
·
Publicado
2021-10-29
·
Atualizado
2021-11-19
·
CVE-2021-41269
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do cron-utils até a 9.1.2
Descrição
Foi identificada uma vulnerabilidade de injeção de modelo no cron-utils, permitindo que invasores injetem expressões Java EL arbitrárias, levando à execução remota de código (RCE) sem autenticação. Essa vulnerabilidade afeta projetos que utilizam a anotação
@Cron para validar expressões Cron não confiáveis.Recomendações
Para versões até 9.1.2, atualize para a versão 9.1.6 para resolver a vulnerabilidade. Como solução alternativa temporária, considere evitar o uso da anotação
@Cron para validar expressões Cron não confiáveis até que o patch seja aplicado. Não há soluções alternativas conhecidas além da atualização para a versão corrigida.Exploit
Correção
Code Injection
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Cron-Utils