CVE-2021-39143

Spinnaker (versões afetadas não especificadas)

Foi descoberta uma vulnerabilidade de traversal de caminho no uso de arquivos TAR pelo Spinnaker no AppEngine para implantações. Essa vulnerabilidade permite que um invasor substitua arquivos no contêiner, introduzindo potencialmente um vetor de ataque do tipo Man-in-the-Middle (MITM) ao substituir bibliotecas ou injetar arquivos wrapper. O problema surge porque o utilitário usado para extrair arquivos localmente para implantação não valida os caminhos na implantação, o que pode levar à substituição de arquivos do sistema.

Para todas as versões afetadas, atualize o Spinnaker o mais rápido possível.

Como solução alternativa temporária para usuários que não possam atualizar, considere desativar as implantações do Google AppEngine e/ou desativar artefatos que forneçam TARs para minimizar o risco de exploração.