PT-2022-20063 · Hashicorp+1 · Go-Getter+1
Alessio Della Libera
+1
·
Publicado
2022-05-25
·
Atualizado
2023-08-08
·
CVE-2022-30321
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
HashiCorp go-getter versões 1.5.11 e anteriores, 2.0.2 e anteriores
HashiCorp go-getter versões até 2.0.2
Descrição
A vulnerabilidade permite acesso arbitrário ao host por meio de falhas de traversal de caminho, processamento de links simbólicos e injeção de comando. Ela também possibilita a troca de protocolo, redirecionamento infinito e contorno de configuração por meio do abuso do processamento de cabeçalhos de resposta HTTP personalizados. Além disso, pode ocorrer esgotamento assimétrico de recursos ao processar respostas HTTP maliciosas. Respostas HTTP maliciosas podem causar comportamentos indesejados, incluindo sobrescrita de arquivos locais, esgotamento de recursos e panics.
Recomendações
Para as versões 1.5.11 e anteriores do HashiCorp go-getter, atualize para a versão 1.6.1 ou posterior.
Para as versões 2.0.2 e anteriores do HashiCorp go-getter, atualize para a versão 2.1.0 ou posterior.
Como solução alternativa temporária, considere restringir o uso do go-getter até que um patch seja aplicado. Evite usar o go-getter para processar respostas HTTP maliciosas ou não confiáveis.
Correção
Path traversal
Link Following
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Debian
Go-Getter