Vulnerabilidad en Monkeytype (CVE-2024-41127)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-94 Control incorrecto de generación de código (Inyección de código)

Fecha de publicación:

02/08/2024

Última modificación:

11/09/2024

Descripción

Monkeytype es una prueba de mecanografía minimalista y personalizable. Monkeytype es vulnerable a la ejecución de canalización envenenada mediante inyección de código en su flujo de trabajo de GitHub ci-failure-comment.yml, lo que permite a los atacantes obtener acceso de escritura a solicitudes de extracción. El flujo de trabajo ci-failure-comment.yml se activa cuando se completa el flujo de trabajo de Monkey CI. Cuando se ejecute, descargará un artefacto cargado por el flujo de trabajo desencadenante y asignará el contenido del artefacto ./pr_num/pr_num.txt a la variable de flujo de trabajo steps.pr_num_reader.outputs.content. No se valida que la variable sea en realidad un número y luego se interpola en un script JS que permite a un atacante cambiar el código a ejecutar. Este problema conduce al acceso de escritura de las solicitudes de extracción. Esta vulnerabilidad se solucionó en 24.30.0.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.60 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto