PT-2022-11617 · Caldera · Caldera
Publicado
2022-01-12
·
Atualizado
2022-01-19
·
CVE-2021-42559
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
CALDERA versão 2.8.1
Descrição
Foi detectada uma falha no CALDERA em que vários “requisitos” de inicialização executam comandos ao iniciar o servidor. Como esses comandos podem ser alterados por meio da API REST, um usuário autenticado pode inserir comandos arbitrários que serão executados quando o servidor for reiniciado.
Recomendações
Para a versão 2.8.1 do CALDERA, considere restringir o acesso à API REST para impedir que usuários autenticados insiram comandos arbitrários. Como solução temporária, considere desativar os “requisitos” de inicialização que executam comandos ao iniciar o servidor até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Caldera