Vulnerabilidad en message_bus (CVE-2021-43840)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
17/12/2021
Última modificación:
29/12/2021
Descripción
message_bus es un bus de mensajería para procesos Ruby y clientes web. En las versiones anteriores a 3.3.7, los usuarios que desplegaron el bus de mensajes con las características de diagnóstico habilitadas (por defecto deshabilitadas) son vulnerables a un bug de salto de ruta, que podría conllevar a una revelación de información secreta en una máquina si un usuario no intencionado accediera a la ruta de diagnóstico. El impacto también es mayor si no se presenta un proxy para su aplicación web, ya que el número de pasos por los directorios no está limitado. Para las implementaciones que usan un proxy, el impacto varía. Por ejemplo, si una petición pasa por un proxy como Nginx con "merge_slashes" habilitado, el número de pasos hacia arriba en los directorios que pueden ser leídos está limitado a 3 niveles. Este problema ha sido parcheado en la versión 3.3.7. Los usuarios que no puedan actualizarse deberán asegurarse de que MessageBus::Diagnostics está deshabilitado
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:discourse:message_bus:*:*:*:*:*:ruby:*:* | 3.3.7 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página