Vulnerabilidad en Snyk (CVE-2024-21571)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-94 Control incorrecto de generación de código (Inyección de código)

Fecha de publicación:

06/12/2024

Última modificación:

06/12/2024

Descripción

Snyk ha identificado una vulnerabilidad de ejecución remota de código (RCE) en todas las versiones de Code Agent. La vulnerabilidad permite a un atacante ejecutar código arbitrario dentro del contenedor de Code Agent. Para explotar esta vulnerabilidad, un atacante necesitaría tener acceso de red a Code Agent dentro del entorno de implementación. La explotación externa de esta vulnerabilidad es poco probable y depende tanto de configuraciones incorrectas del clúster como de la conexión con otra vulnerabilidad. Sin embargo, la explotación interna (con una configuración incorrecta del clúster) aún podría ser posible.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.10 ALTA
Vector: CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

8.10

Gravedad 3.x

ALTA

Referencias a soluciones, herramientas e información

https://www.cve.org/CVERecord?id=CVE-2024-21571