Vulnerabilidad en Terraform WinDNS Provider (CVE-2025-46735)

Gravedad CVSS v4.0:

BAJA

Tipo:

CWE-77 Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)

Fecha de publicación:

06/05/2025

Última modificación:

07/05/2025

Descripción

Terraform WinDNS Provider permite a los usuarios administrar los recursos de su servidor DNS de Windows a través de Terraform. Se detectó un problema de seguridad en e Terraform WinDNS Provider anterior a la versión 1.0.5. El recurso `windns_record` no depuraba las variables de entrada. Esto podría provocar la inyección de comandos autenticados en el símbolo del sistema de PowerShell subyacente. La versión 1.0.5 contiene una solución para este problema.

Impacto

Vector 4.0

CVSS:4.0/AV:L/AC:L/AT:N/PR:H/UI:A/VC:N/VI:N/VA:N/SC:H/SI:H/SA:H/E:U CVSS v4.0 Severidad y Métricas:

Puntuación base: 1.10 BAJA
Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:H/UI:A/VC:N/VI:N/VA:N/SC:H/SI:H/SA:H/E:U

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Activo
Confidentiality (VC): Ninguno
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Alto
Integrity (SI): Alto
Availability (SA): Alto
Exploit Maturity (E): Unreported

Puntuación base 4.0

1.10

Gravedad 4.0

BAJA

Vulnerabilidad en Terraform WinDNS Provider (CVE-2025-46735)

Descripción

Impacto

Referencias a soluciones, herramientas e información