Vulnerabilidad en cartridge_repository.rb en OpenShift Origin and Enterprise (CVE-2014-3496)
Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
20/06/2014
Última modificación:
12/04/2025
Descripción
cartridge_repository.rb en OpenShift Origin and Enterprise 1.2.8 hasta 2.1.1 permite a atacantes remotos ejecutar comandos arbitrarios a través de metacaracteres de shell en una Url de fuente que termina con una extensión de fichero (1) .tar.gz, (2) .zip, (3) .tgz o (4) .tar en un fichero del manifiesto de cartuchos.
Impacto
Puntuación base 2.0
10.00
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:redhat:openshift:1.2.8:*:*:*:enterprise:*:*:* | ||
| cpe:2.3:a:redhat:openshift:2.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:openshift:2.0.1:*:enterprise:*:*:*:*:* | ||
| cpe:2.3:a:redhat:openshift:2.0.2:*:enterprise:*:*:*:*:* | ||
| cpe:2.3:a:redhat:openshift:2.0.3:*:enterprise:*:*:*:*:* | ||
| cpe:2.3:a:redhat:openshift:2.0.4:*:enterprise:*:*:*:*:* | ||
| cpe:2.3:a:redhat:openshift:2.0.5:*:enterprise:*:*:*:*:* | ||
| cpe:2.3:a:redhat:openshift:2.0.6:*:*:*:enterprise:*:*:* | ||
| cpe:2.3:a:redhat:openshift:2.1:*:*:*:enterprise:*:*:* | ||
| cpe:2.3:a:redhat:openshift:2.1.1:*:*:*:enterprise:*:*:* | ||
| cpe:2.3:a:redhat:openshift_origin:1.2.8:*:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:openshift_origin:2.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:openshift_origin:2.1.1:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://rhn.redhat.com/errata/RHSA-2014-0762.html
- http://rhn.redhat.com/errata/RHSA-2014-0763.html
- http://rhn.redhat.com/errata/RHSA-2014-0764.html
- http://secunia.com/advisories/59298
- https://bugzilla.redhat.com/show_bug.cgi?id=1110470
- https://github.com/openshift/origin-server/pull/5521
- http://rhn.redhat.com/errata/RHSA-2014-0762.html
- http://rhn.redhat.com/errata/RHSA-2014-0763.html
- http://rhn.redhat.com/errata/RHSA-2014-0764.html
- http://secunia.com/advisories/59298
- https://bugzilla.redhat.com/show_bug.cgi?id=1110470
- https://github.com/openshift/origin-server/pull/5521