Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el parámetro functionName en el componente dashboard de StackLift LocalStack (CVE-2021-32090)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
07/05/2021
Última modificación:
28/06/2022

Descripción

El componente dashboard de StackLift LocalStack versión 0.12.6, permite a atacantes inyectar comandos de shell arbitrarios por medio del parámetro functionName

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:localstack:localstack:0.12.6:*:*:*:*:*:*:*