Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en cloud-init administrado por snapd en los dispositivos Ubuntu Core 16 y Ubuntu Core 18 (CVE-2020-11933)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-264 Permisos, privilegios y/o control de acceso
Fecha de publicación:
29/07/2020
Última modificación:
17/06/2026

Descripción

cloud-init administrado por snapd en los dispositivos Ubuntu Core 16 y Ubuntu Core 18, se ejecutó sin restricciones en cada arranque, que un atacante físico podría explotar mediante el diseño de user-data/meta-data de cloud-init por medio de medios externos para llevar a cabo cambios arbitrarios en el dispositivo para omitir los mecanismos de seguridad previstos, como el cifrado de disco completo. Este problema no afectó a los sistemas tradicionales de Ubuntu. Se corrigió en snapd versión 2.45.2, revisión 8539 y core versión 2.45.2, revisión 9659

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:canonical:snapd:*:*:*:*:*:*:*:* 2.45.2 (excluyendo)
cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:19.10:*:*:*:*:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:20.04:*:*:*:lts:*:*:*