Vulnerabilidad en Artifact Hub (CVE-2023-45823)
Severidad:
ALTA
Type:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
19/10/2023
Última modificación:
30/10/2023
Descripción
Artifact Hub es una aplicación basada en web que permite buscar, instalar y publicar paquetes y configuraciones para proyectos CNCF. Durante una auditoría de seguridad del código base de Artifact Hub, un investigador de seguridad identificó un error en el que, mediante el uso de enlaces simbólicos en ciertos tipos de repositorios cargados en Artifact Hub, era posible leer archivos internos. Artifact Hub indexa contenido de una variedad de fuentes, incluidos repositorios de git. Al procesar repositorios basados en git, Artifact Hub clona el repositorio y, según el tipo de artefacto, lee algunos archivos del mismo. Durante este proceso, en algunos casos, no se realizó ninguna validación para verificar si el archivo era un enlace simbólico. Esto hizo posible leer archivos arbitrarios en el system, potencialmente filtrando información confidencial. Este problema se resolvió en la versión `1.16.0`. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Impacto
Puntuación base 3.x
7.50
Severidad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:artifacthub:hub:*:*:*:*:*:*:*:* | 1.16.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página