CVE-2021-22557
Code execution in SLO Generator via YAML Payload
En resumen
SLO Generator ejecuta código arbitrario al procesar archivos YAML especialmente diseñados. Un atacante que pueda proporcionar un archivo YAML malicioso a la aplicación podría ejecutar código con los privilegios del proceso SLO Generator.
Detalle técnico
La vulnerabilidad existe en el análisis de archivos YAML sin controles adecuados de deserialización (CWE-94). Un atacante puede crear un payload YAML que dispare la ejecución de código durante la carga del archivo. La explotación requiere la capacidad de suministrar o controlar la entrada YAML para la aplicación SLO Generator.
Resumen generado y traducido por IA a partir de la descripción oficial.
SLO generator allows for loading of YAML files that if crafted in a specific format can allow for code execution within the context of the SLO Generator. We recommend upgrading SLO Generator past https://github.com/google/slo-generator/pull/173
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
Productos afectados
Google LLC · SLO GeneratorPoCs públicas encontradas — 2
cve_referencepacketstormsecurity.com/files/164426/Google-SLO-Generator-2.0.0-Code-Execution.htmlno verificadoexploitdbwww.exploit-db.com/exploits/50385no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →