Vulnerabilidad en el proceso de activación en Travis C (CVE-2021-41077)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

14/09/2021

Última modificación:

29/09/2021

Descripción

El proceso de activación en Travis CI, para determinadas compilaciones desde el 03-09-2021 hasta 10-09-2021, causa que los datos secretos tengan un intercambio inesperado que no está especificado por el archivo .travis.yml controlado por el cliente. En particular, el comportamiento deseado (si el archivo .travis.yml ha sido creado localmente por un cliente, y añadido a git) es que el servicio Travis lleve a cabo las compilaciones de manera que impida el acceso público a los datos secretos del entorno específicos del cliente, como las claves de firma, las credenciales de acceso y los tokens de la API. Sin embargo, durante el intervalo indicado de 8 días, los datos secretos podrían ser revelados a un actor no autorizado que bifurcara un repositorio público e imprimiera archivos durante un proceso de construcción

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:M/Au:N/C:P/I:N/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: AV:N/AC:M/Au:N/C:P/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno