Vulnerabilidad en Autolab (CVE-2022-41955)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-77 Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)

Fecha de publicación:

14/01/2023

Última modificación:

11/12/2023

Descripción

Autolab es un servicio de gestión de cursos, desarrollado inicialmente por un equipo de estudiantes de la Universidad Carnegie Mellon, que permite a los instructores ofrecer tareas de programación autocalificadas a sus estudiantes a través de la Web. Se descubrió una vulnerabilidad de ejecución remota de código en la funcionalidad MOSS de Autolab, mediante la cual un instructor con acceso a la función podría ejecutar código en el servidor que aloja Autolab. Esta vulnerabilidad ha sido parcheada en la versión 2.10.0. Como workaround, deshabilite la función MOSS si no es necesaria reemplazando el cuerpo de `run_moss` en `app/controllers/courses_controller.rb` with `render(plain: "Feature disabled", status: :bad_request) &amp;&amp; return`.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto