PT-2022-10660 · Clair · Clair
Yanir Tsarimi
·
Publicado
2022-03-03
·
Atualizado
2023-01-30
·
CVE-2021-3762
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Clair (versões afetadas não especificadas)
Descrição
Uma vulnerabilidade de traversal de diretório no mecanismo ClairCore permite que um invasor explore o sistema fornecendo uma imagem de contêiner maliciosamente criada. Quando analisada pelo Clair, isso pode levar à gravação arbitrária de arquivos no sistema de arquivos, possibilitando potencialmente a execução remota de código. Além disso, um arquivo RPM criado de forma maliciosa pode fazer com que a função
Scanner.Scan grave arquivos com conteúdo arbitrário em locais arbitrários no sistema de arquivos local.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Clair