Vulnerabilidad en Dispatch (CVE-2024-7093)

Gravedad:

Pendiente de análisis

Tipo:

CWE-94 Control incorrecto de generación de código (Inyección de código)

Fecha de publicación:

01/08/2024

Última modificación:

02/08/2024

Descripción

El servicio de notificación de Dispatch utiliza plantillas de Jinja para generar mensajes para los usuarios. Jinja permite la ejecución de código dentro de bloques, que no fueron sanitizados ni metidos en sandbox adecuadamente. Esta vulnerabilidad permite a los usuarios crear scripts de línea de comando en sus plantillas de mensajes personalizadas, que luego se ejecutan cada vez que se procesan y envían estas notificaciones.

Impacto

Referencias a soluciones, herramientas e información

https://github.com/Netflix/security-bulletins/blob/master/advisories/nflx-2024-003.md