PT-2021-7911 · Unknown+2 · Containernetworking/Cni+2
Pedro Sampaio
·
Publicado
2021-01-19
·
Atualizado
2024-06-15
·
CVE-2021-20206
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
versões do containernetworking/cni anteriores à 0.8.1
Descrição
O problema está relacionado a uma falha na limitação inadequada do nome do caminho na Interface de Rede de Contêineres (CNI), que pode ser explorada por um invasor para executar outros binários existentes no sistema, afetando potencialmente a confidencialidade, a integridade e a disponibilidade das informações protegidas. Isso pode ser feito usando elementos especiais, como separadores “../”, ao especificar o plug-in a ser carregado no campo ‘type’ na configuração de rede. A vulnerabilidade permite que invasores acessem binários em outras partes do sistema, incluindo a execução de comandos como ‘reboot’.
Recomendações
Para versões do containernetworking/cni anteriores à 0.8.1, atualize para a versão 0.8.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso do campo ‘type’ na configuração de rede para impedir a execução de binários arbitrários até que um patch seja aplicado. Evite usar elementos especiais, como separadores “../”, ao especificar os plug-ins a serem carregados.
Correção
RCE
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Astra Linux
Suse
Containernetworking/Cni