Vulnerabilidad en Hashicorp Packer (CVE-2022-42717)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
11/10/2022
Última modificación:
20/05/2025
Descripción
Se ha detectado un problema en Hashicorp Packer versiones anteriores a 2.3.1. La configuración de sudoers recomendada para Vagrant en Linux es insegura. Si el host ha sido configurado de acuerdo con esta documentación, los usuarios no privilegiados en el host pueden aprovechar un comodín en la configuración de sudoers para ejecutar comandos arbitrarios como root
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:hashicorp:vagrant:*:*:*:*:*:*:*:* | 2.3.1 (excluyendo) | |
| cpe:2.3:o:linux:linux_kernel:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://discuss.hashicorp.com/t/hcsec-2022-23-vagrant-nfs-sudoers-configuration-allows-for-local-privilege-escalation/45423
- https://github.com/hashicorp/vagrant/pull/12910
- https://www.vagrantup.com/docs/synced-folders/nfs
- https://discuss.hashicorp.com/t/hcsec-2022-23-vagrant-nfs-sudoers-configuration-allows-for-local-privilege-escalation/45423
- https://github.com/hashicorp/vagrant/pull/12910
- https://www.vagrantup.com/docs/synced-folders/nfs