Vulnerabilidad en quarkus-core (CVE-2024-2700)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
04/04/2024
Última modificación:
12/12/2024
Descripción
Se encontró una vulnerabilidad en el componente quarkus-core. Quarkus captura las variables de entorno local del espacio de nombres de Quarkus durante la compilación de la aplicación. Por lo tanto, la ejecución de la aplicación resultante hereda los valores capturados en el momento de la compilación. Sin embargo, es posible que el entorno de desarrollador/CI haya configurado algunas variables de entorno local con fines de prueba, como eliminar la base de datos durante el inicio de la aplicación o confiar en que todos los certificados TLS acepten certificados autofirmados. Si estas propiedades se configuran mediante variables de entorno o la función .env, se capturan en la aplicación integrada. Conduce a un comportamiento peligroso si la aplicación no anula estos valores. Este comportamiento solo ocurre para las propiedades de configuración del espacio de nombres `quarkus.*`. Por lo tanto, las propiedades específicas de la aplicación no se capturan.
Impacto
Puntuación base 3.x
7.00
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://access.redhat.com/errata/RHSA-2024:11023
- https://access.redhat.com/errata/RHSA-2024:2106
- https://access.redhat.com/errata/RHSA-2024:2705
- https://access.redhat.com/errata/RHSA-2024:3527
- https://access.redhat.com/errata/RHSA-2024:4028
- https://access.redhat.com/errata/RHSA-2024:4873
- https://access.redhat.com/security/cve/CVE-2024-2700
- https://bugzilla.redhat.com/show_bug.cgi?id=2273281
- https://access.redhat.com/errata/RHSA-2024:2106
- https://access.redhat.com/errata/RHSA-2024:2705
- https://access.redhat.com/errata/RHSA-2024:3527
- https://access.redhat.com/errata/RHSA-2024:4028
- https://access.redhat.com/errata/RHSA-2024:4873
- https://access.redhat.com/security/cve/CVE-2024-2700
- https://bugzilla.redhat.com/show_bug.cgi?id=2273281