Vulnerabilidad en Octopoller (CVE-2022-31071)

Gravedad CVSS v3.1:

BAJA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

15/06/2022

Última modificación:

27/06/2022

Descripción

Octopoller es una micro gema para el sondeo y reintento. La versión 0.2.0 de la gema octopoller fue publicada conteniendo archivos de escritura mundial. Específicamente, la gema fue empaquetada con archivos que presentan sus permisos establecidos en "-rw-rw-rw-" (es decir, 0666) en lugar de "rw-r--r--" (es decir, 0644). Esto significa que cualquier persona que no sea el propietario (Grupo y Público) con acceso a la instancia donde se ha instalado esta versión podría modificar los archivos escribibles por el mundo desde esta gema. Este problema está parcheado en Octopoller versión 0.3.0. Se presentan dos mitigaciones disponibles. Los usuarios pueden usar la versión anterior de la gema, v0.1.0. Alternativamente, los usuarios pueden modificar los permisos de los archivos manualmente hasta que puedan actualizar a la última versión

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 3.30 BAJA
Vector: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

3.30

Gravedad 3.x

BAJA

Vector 2.0

AV:L/AC:L/Au:N/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 2.10 BAJA
Vector: AV:L/AC:L/Au:N/C:N/I:P/A:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno