Vulnerabilidad en kartverket/github-workflows (CVE-2022-39326)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-94 Control incorrecto de generación de código (Inyección de código)

Fecha de publicación:

25/10/2022

Última modificación:

28/10/2022

Descripción

kartverket/github-workflows son flujos de trabajo reusables compartidos para las acciones de GitHub. versiones anteriores a 2.7.5, todos los usuarios del flujo de trabajo reusable "run-terraform" del repositorio kartverket/github-workflows están afectados por una vulnerabilidad de inyección de código. Un actor malicioso podría enviar una RP con una carga útil maliciosa que conlleva a una ejecución de código JavaScript arbitrario en el contexto del flujo de trabajo. Los usuarios deben actualizar al menos a versión 2.7.5 para resolver el problema. Como mitigación, revise cualquier petición de usuarios externos en busca de cargas útiles maliciosas antes de permitir que desencadenen una compilación

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

8.80

Gravedad 3.x

ALTA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:kartverket:github-workflows::::::::		2.7.5 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Vulnerabilidad en kartverket/github-workflows (CVE-2022-39326)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información