Vulnerabilidad en una petición HTTP en dependdabot-common y dependdabot-go_modules en la URL en Dependabot-Core para Ruby (CVE-2020-26222)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-74
Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)
Fecha de publicación:
13/11/2020
Última modificación:
03/12/2020
Descripción
Dependabot es un conjunto de paquetes para la administración automatizada de dependencias para Ruby, JavaScript, Python, PHP, Elixir, Rust, Java, .NET, Elm y Go. En Dependabot-Core desde la versión 0.119.0.beta1 versiones anteriores a 0.125.1, se presenta una vulnerabilidad de ejecución de código remota en dependdabot-common y dependdabot-go_modules cuando el nombre de una rama de origen contiene código bash inyectable malicioso. Por ejemplo, si Dependabot está configurado para usar el siguiente nombre de rama de origen: "/$({curl,127.0.0.1})", Dependabot realizará una petición HTTP a la siguiente URL: 127.0.0.1 cuando clona el repositorio de origen. La corrección fue aplicada en versión 0.125.1. Como solución alternativa, se puede escapar el nombre de la rama antes de pasarlo a la clase Dependabot::Source
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:dependabot_project:dependabot:*:*:*:*:*:*:*:* | 0.119.1 (incluyendo) | 0.125.1 (excluyendo) |
| cpe:2.3:a:dependabot_project:dependabot:0.119.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:dependabot_project:dependabot:0.119.0:beta1:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página