Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en dp-golang (CVE-2024-27294)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
29/02/2024
Última modificación:
11/04/2025

Descripción

dp-golang es un módulo Puppet para instalaciones Go. Antes de 1.2.7, dp-golang podía instalar archivos, incluido el binario del compilador, con la propiedad incorrecta cuando Puppet se ejecutaba como root y el paquete instalado era En macOS: vaya a la versión 1.4.3 a 1.21rc3, inclusive, go1.4 -bootstrap-20170518.tar.gz o go1.4-bootstrap-20170531.tar.gz. El usuario y el grupo especificados en el código Puppet se ignoraron para los archivos dentro del archivo. La versión 1.2.7 de dp-puppet recreará las instalaciones si el propietario o grupo de cualquier archivo o directorio dentro de esa instalación no coincide con el propietario o grupo solicitado.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:danielparks:dp-golang:*:*:*:*:*:puppet:*:* 1.2.7 (excluyendo)