Vulnerabilidad en Rundeck (CVE-2021-41112)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
28/02/2022
Última modificación:
10/03/2022
Descripción
Rundeck es un servicio de automatización de código abierto con una consola web, herramientas de línea de comandos y una WebAPI. En versiones anteriores a 3.4.5, los usuarios autenticados podían diseñar una petición para modificar o eliminar calendarios a nivel de sistema o de proyecto, sin la autorización correspondiente. La modificación o eliminación de calendarios podía causar que los trabajos programados fueran ejecutados, o que no fueran ejecutados en los días de calendario deseados. La gravedad depende del nivel confiable de los usuarios autenticados y del impacto de ejecutar o no ejecutar trabajos programados en los días regidos por las definiciones de calendario. La versión 3.4.5 contiene un parche para este problema. Actualmente no se presentan medidas de mitigación conocidas.
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Puntuación base 2.0
5.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:pagerduty:rundeck:*:*:*:*:-:*:*:* | 3.4.5 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página