PT-2022-24832 · Arvados · Arvados
Tetron
·
Publicado
2022-09-23
·
Atualizado
2022-09-26
·
CVE-2022-39238
CVSS v3.1
4.2
Média
| Vetor | AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Arvados anteriores à 2.4.3
Descrição
A vulnerabilidade afeta o Arvados, uma plataforma de código aberto para gerenciamento e análise de big data biomédico. Ao utilizar Módulos de Autenticação Portáteis (PAM) para autenticação de usuários, se um usuário apresentar credenciais válidas, mas a conta estiver desativada ou não tiver permissão para acessar o host, o acesso ao Arvados ainda será permitido. Outros métodos de autenticação suportados pelo Arvados, como LDAP e OpenID Connect, não são afetados por essa falha.
Recomendações
Para versões anteriores à 2.4.3, atualize para a versão 2.4.3 para resolver o problema.
Como solução alternativa temporária, considere migrar para um método de autenticação diferente suportado pelo Arvados, como LDAP, até que a atualização para a versão 2.4.3 possa ser aplicada.
Exploit
Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Arvados