CVE-2022-31249

[RANCHER] OS command injection in Rancher and Fleet

CVSS 7.5 HIGHEPSS 3.8%CWE-78

En resumen

El componente Wrangler de Rancher no valida adecuadamente la entrada del usuario, permitiendo que atacantes inyecten comandos maliciosos en el sistema operativo. Estos comandos se ejecutan con los privilegios del servicio Rancher, pudiendo otorgar a los atacantes control total del host subyacente.

Detalle técnico

Vulnerabilidad de inyección de comandos OS en Wrangler permite que atacantes remotos ejecuten comandos arbitrarios en el host mediante entrada especialmente elaborada pasada a funciones de procesamiento de comandos. La falla resulta de la falta de sanitización de datos proporcionados por el usuario antes de ser enviados a APIs de ejecución de comandos OS, afectando versiones 0.7.3, 0.8.4 y 1.0.0 y anteriores.

Resumen generado y traducido por IA a partir de la descripción oficial.

A Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') vulnerability in wrangler of SUSE Rancher allows remote attackers to inject commands in the underlying host via crafted commands passed to Wrangler. This issue affects: SUSE Rancher wrangler version 0.7.3 and prior versions; wrangler version 0.8.4 and prior versions; wrangler version 1.0.0 and prior versions.

CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

Productos afectados

SUSE · Rancher

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://bugzilla.suse.com/show_bug.cgi?id=1200299