CVE-2022-31249
[RANCHER] OS command injection in Rancher and Fleet
Em resumo
O Wrangler do Rancher não valida adequadamente a entrada do usuário, permitindo que atacantes injetem comandos maliciosos no sistema operacional. Esses comandos executam com os privilégios do serviço Rancher, podendo dar aos atacantes controle total do host subjacente.
Detalhe técnico
Vulnerabilidade de injeção de comando OS no Wrangler permite que atacantes remotos executem comandos arbitrários no host via entrada especialmente elaborada passada para funções de processamento de comando. A falha resulta da falta de sanitização de dados fornecidos pelo usuário antes de serem enviados a APIs de execução de comandos OS, afetando versões 0.7.3, 0.8.4 e 1.0.0 e anteriores.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') vulnerability in wrangler of SUSE Rancher allows remote attackers to inject commands in the underlying host via crafted commands passed to Wrangler. This issue affects: SUSE Rancher wrangler version 0.7.3 and prior versions; wrangler version 0.8.4 and prior versions; wrangler version 1.0.0 and prior versions.
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
SUSE · RancherQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →