CVE-2022-28802

Nome do Software Vulnerável e Versões Afetadas Versões do Code by Zapier anteriores a 17/08/2022

Descrição O problema permitia escalonamento de privilégios dentro da conta, incluindo a execução de código Python ou JavaScript, efetivamente fornecendo uma máquina virtual de propósito geral controlada pelo cliente. Isso concedeu não intencionalmente acesso total a todos os usuários de uma conta da empresa, em vez de aplicar o controle de acesso baseado em função dentro da conta dessa empresa.

Recomendações Para versões anteriores a 17/08/2022, considere usar uma máquina virtual separada para aplicativos que mantêm credenciais ou outros segredos que não devem ser compartilhados entre todos os funcionários, o que exigiria múltiplas contas para operar essas máquinas virtuais independentes.