PT-2024-1297 · Mock+1 · Mock+1
Marco Benatto
·
Publicado
2024-01-16
·
Atualizado
2024-10-25
·
CVE-2023-6395
CVSS v2.0
10
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Mock (versões afetadas não especificadas)
Descrição
O software Mock contém uma vulnerabilidade que poderia ser explorada para escalonamento de privilégios, permitindo a execução de código arbitrário com privilégios de usuário root. Essa falha decorre da ausência de um sandboxing adequado durante a expansão e execução de modelos Jinja2, que podem estar incluídos em determinados parâmetros de configuração. A falha pode permitir que usuários com menos privilégios definam tags de configuração que poderiam ser passadas como parâmetros para o Mock durante a execução, levando potencialmente à utilização de modelos Jinja2 para escalonamento remoto de privilégios e à execução de código arbitrário como usuário root no servidor de compilação.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Code Injection
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Mock
Red Os