Vulnerabilidad en Fluentd (CVE-2022-39379)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-502 Deserialización de datos no confiables

Fecha de publicación:

02/11/2022

Última modificación:

07/11/2023

Descripción

Fluentd recopila eventos de diversas fuentes de datos y los escribe en archivos, RDBMS, NoSQL, IaaS, SaaS, Hadoop, etc. Una vulnerabilidad de ejecución remota de código (RCE) en configuraciones no predeterminadas de Fluentd permite a atacantes no autenticados ejecutar código arbitrario a través de payloads JSON especialmente manipulados. Las configuraciones de Fluentd solo se ven afectadas si la variable de entorno `FLUENT_OJ_OPTION_MODE` se establece explícitamente en `object`. Tenga en cuenta: la opción FLUENT_OJ_OPTION_MODE se introdujo en la versión 1.13.2 de Fluentd. Las versiones anteriores de Fluentd no se ven afectadas por esta vulnerabilidad. Este problema se solucionó en la versión 1.15.3. Como workaround alternativo, no utilice `FLUENT_OJ_OPTION_MODE=object`.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto