CVE-2021-41112

Versões do Rundeck anteriores à 3.4.5

O Rundeck é um serviço de automação de código aberto com um console web, ferramentas de linha de comando e uma WebAPI. Nas versões anteriores à 3.4.5, usuários autenticados podiam criar uma solicitação para modificar ou excluir calendários no nível do sistema ou do projeto, sem a devida autorização. A modificação ou remoção de calendários poderia fazer com que tarefas agendadas fossem executadas, ou não fossem executadas, nos dias desejados do calendário. A gravidade depende do nível de confiança dos usuários autenticados e do impacto da execução ou não de tarefas agendadas nos dias regidos pelas definições do calendário.

Para versões anteriores à 3.4.5, atualize para a versão 3.4.5 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à funcionalidade de modificação do calendário para minimizar o risco de exploração.