Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en GitHub Actions Runner (CVE-2022-39321)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
25/10/2022
Última modificación:
28/10/2022

Descripción

GitHub Actions Runner es la aplicación que ejecuta un trabajo desde un flujo de trabajo de GitHub Actions. El ejecutor de acciones invoca directamente el cli de la ventana acoplable para ejecutar contenedores de trabajo, contenedores de servicio o acciones de contenedor. En versiones anteriores a 2.296.2, 2.293.1, 2.289.4, 2.285.2 y 2.283.4, ha sido detectado un error en la lógica de cómo es codificado el entorno en estos comandos docker que permite que una entrada escape a la variable de entorno y modifique la invocación de ese comando docker directamente. Los trabajos que usan acciones de contenedor, contenedores de trabajo o contenedores de servicio junto con entradas de usuario no confiables en las variables de entorno pueden ser vulnerables. El Actions Runner ha sido parcheado, tanto en "github.com" como en hotfixes para los clientes de GHES y GHAE en versiones 2.296.2, 2.293.1, 2.289.4, 2.285.2 y 2.283.4. Los clientes de GHES y GHAE pueden querer parchear su instancia para que sus ejecutores actualicen automáticamente a estas nuevas versiones de ejecutores. Como mitigación, los usuarios pueden considerar la eliminación de cualquier acción de contenedor, contenedor de trabajo o contenedor de servicio de sus trabajos hasta que puedan actualizar las versiones de sus ejecutores

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.90 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
9.90
Gravedad 3.x
CRÍTICA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:github:runner:*:*:*:*:*:*:*:* 2.283.4 (excluyendo)
cpe:2.3:a:github:runner:*:*:*:*:*:*:*:* 2.284.0 (incluyendo) 2.285.2 (excluyendo)
cpe:2.3:a:github:runner:*:*:*:*:*:*:*:* 2.286.0 (incluyendo) 2.289.4 (excluyendo)
cpe:2.3:a:github:runner:*:*:*:*:*:*:*:* 2.290.0 (incluyendo) 2.293.1 (excluyendo)
cpe:2.3:a:github:runner:*:*:*:*:*:*:*:* 2.294.0 (incluyendo) 2.296.2 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información