PT-2022-12303 · Cobbler+2 · Cobbler+2

Paolo Perego

Publicado

2022-01-12

Atualizado

2025-05-16

CVE-2021-45082

CVSS v4.0

8.5

Alta

Vetor

AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Nome do software vulnerável e versões afetadas

Versões do Cobbler anteriores à 3.3.1

Descrição

Foi detectada uma falha no arquivo templar.py, na qual a função check for invalid imports pode permitir que o código Cheetah importe módulos Python por meio da subcadeia de caracteres “#from MODULE import”, uma vez que apenas as linhas que começam com #import são bloqueadas.

Recomendações

Para versões do Cobbler anteriores à 3.3.1, atualize para a versão 3.3.1 ou posterior para resolver o problema.

Como solução temporária, considere restringir o uso da função check for invalid imports no arquivo templar.py até que um patch esteja disponível.

Exploit

Correção

Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-77

Identificadores relacionados

CVE-2021-45082

GHSA-6CM4-GM85-972C

OESA-2025-1467

OESA-2025-1468

OESA-2025-1469

OESA-2025-1527

OPENSUSE-SU-2022_0062-1

OPENSUSE-SU-2024:11853-1

PYSEC-2022-37

SUSE-SU-2022:0509-1

SUSE-SU-2022:0510-1

USN-6475-1

Produtos afetados

Cobbler

Suse

Ubuntu

PT-2022-12303 · Cobbler+2 · Cobbler+2

CVE-2021-45082

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 61