Vulnerabilidad en el mecanismo del plugin de conversión de almacenamiento de claves en Rundeck (CVE-2022-31044)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-256
Almacenamiento de un contraseña en texto claro
Fecha de publicación:
15/06/2022
Última modificación:
24/06/2022
Descripción
Rundeck es un servicio de automatización de código abierto con una consola web, herramientas de línea de comandos y una WebAPI. El mecanismo del plugin de conversión de almacenamiento de claves no estaba habilitado correctamente en Rundeck versiones 4.2.0 y 4.2.1, resultando en que el uso de la capa de cifrado para el almacenamiento de claves posiblemente no funcionara. Cualquier credencial creada o sobrescrita usando Rundeck versiones 4.2.0 o 4.2.1 podría resultar en que sea escrito en texto plano en el almacenamiento del backend. Esto afecta a los que usan cualquier plugin "Storage Converter". Rundeck versiones 4.3.1 y 4.2.2 han corregido el código y al actualizarlas volverán a encriptar los valores en texto plano. La versión 4.3.0 no presenta la vulnerabilidad, pero no incluye el parche para volver a cifrar los valores de texto plano si es usada la 4.2.0 o la 4.2.1. Para evitar que sean almacenadas credenciales en texto plano en Rundeck versiones 4.2.0/4.2.1, puede deshabilitarse el acceso de escritura al almacenamiento de claves por medio de ACL. Después de actualizar a versión 4.3.1 o posterior, puede restaurarse el acceso de escritura
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:pagerduty:rundeck:4.2.0:-:*:*:community:*:*:* | ||
| cpe:2.3:a:pagerduty:rundeck:4.2.0:-:*:*:enterprise:*:*:* | ||
| cpe:2.3:a:pagerduty:rundeck:4.2.1:*:*:*:community:*:*:* | ||
| cpe:2.3:a:pagerduty:rundeck:4.2.1:*:*:*:enterprise:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página