Vulnerabilidad en un archivo de esquema en 23andMe Yamale (CVE-2021-38305)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-434 Subida sin restricciones de ficheros de tipos peligrosos

Fecha de publicación:

09/08/2021

Última modificación:

17/08/2021

Descripción

23andMe Yamale versiones anteriores a 3.0.8, permite a atacantes remotos ejecutar código arbitrario por medio de un archivo de esquema diseñado. El analizador de esquemas usa la función eval como parte de su procesamiento, e intenta protegerse de las expresiones maliciosas al limitar las funciones integradas que son pasadas a la función eval. Cuando se procesa el esquema, cada línea se ejecuta mediante la función eval de Python para que el comprobador esté disponible. Una cadena bien construida dentro de las reglas del esquema puede ejecutar comandos del sistema; así, al explotar la vulnerabilidad, un atacante puede ejecutar código arbitrario en la imagen que invoca Yamale

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.80 ALTA
Vector: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.80

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:M/Au:N/C:C/I:C/A:C CVSS v2.0 Severidad y Métricas:

Puntuación base: 9.30 ALTA
Vector: AV:N/AC:M/Au:N/C:C/I:C/A:C

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Completo
Impacto a la integridad (I): Completo
Impacto a la disponibilidad (A): Completo