Vulnerabilidad en Octokit (CVE-2022-31072)

Gravedad CVSS v3.1:

BAJA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

15/06/2022

Última modificación:

27/06/2022

Descripción

Octokit es un kit de herramientas Ruby para la API de GitHub. Las versiones 4.23.0 y 4.24.0 de la gema octokit fueron publicadas conteniendo archivos escribibles por el mundo. Específicamente, la gema fue empaquetada con archivos que tenían sus permisos establecidos en "-rw-rw-rw-" (es decir, 0666) en lugar de "rw-r--r--" (es decir, 0644). Esto significa que cualquier persona que no sea el propietario (Grupo y Público) con acceso a la instancia donde se ha instalado esta versión podría modificar los archivos escribibles por el mundo desde esta gema. Este problema está parcheado en Octokit 4.25.0. Se presentan dos mitigaciones disponibles. Los usuarios pueden usar la versión anterior de la gema, v4.22.0. Alternativamente, los usuarios pueden modificar los permisos de los archivos manualmente hasta que puedan actualizar a la última versión

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 3.30 BAJA
Vector: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

3.30

Gravedad 3.x

BAJA

Vector 2.0

AV:L/AC:L/Au:N/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 2.10 BAJA
Vector: AV:L/AC:L/Au:N/C:N/I:P/A:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno