Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en un archivo terraform en Bridgecrew Checkov de Prisma Cloud (CVE-2021-3040)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-502 Deserialización de datos no confiables
Fecha de publicación:
10/06/2021
Última modificación:
21/06/2021

Descripción

Una vulnerabilidad de deserialización insegura en Bridgecrew Checkov de Prisma Cloud permite la ejecución de código arbitrario al procesar un archivo terraform malicioso. Este problema afecta a las versiones de Checkov 2.0 anteriores a Checkov 2.0.139. Las versiones de Checkov 1.0 no se ven afectadas

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:paloaltonetworks:bridgecrew_checkov:*:*:*:*:*:*:*:* 2.0.0 (incluyendo) 2.0.139 (excluyendo)


Referencias a soluciones, herramientas e información