PT-2024-30654 · Lakefs · Lakefs
N-O-Z
·
Publicado
2024-11-26
·
Atualizado
2024-12-11
·
CVE-2024-43784
CVSS v4.0
6.8
Média
| Vetor | AV:N/AC:L/AT:N/PR:H/UI:A/VC:L/VI:H/VA:L/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do lakeFS anteriores à 1.33.0
Descrição
O lakeFS é uma ferramenta de código aberto que transforma o armazenamento de objetos em um repositório semelhante ao Git. Os usuários existentes do lakeFS que tenham emitido credenciais para usuários que foram excluídos são afetados por este problema. Ao criar um novo usuário com o mesmo nome de usuário de um usuário excluído, esse usuário herdará todas as credenciais do usuário anterior.
Recomendações
Para versões anteriores à 1.33.0, atualize para a versão 1.33.0 para resolver o problema.
Como solução alternativa temporária para aqueles que não podem atualizar, não reutilize nomes de usuário que foram excluídos anteriormente.
Exploit
Correção
Improper Authentication
Improper Preservation of Permissions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Lakefs