CVE

Vulnerabilidad en Artifact Hub (CVE-2023-45823)

Severidad:

ALTA

Type:

CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)

Fecha de publicación:

19/10/2023

Última modificación:

30/10/2023

Descripción

Artifact Hub es una aplicación basada en web que permite buscar, instalar y publicar paquetes y configuraciones para proyectos CNCF. Durante una auditoría de seguridad del código base de Artifact Hub, un investigador de seguridad identificó un error en el que, mediante el uso de enlaces simbólicos en ciertos tipos de repositorios cargados en Artifact Hub, era posible leer archivos internos. Artifact Hub indexa contenido de una variedad de fuentes, incluidos repositorios de git. Al procesar repositorios basados en git, Artifact Hub clona el repositorio y, según el tipo de artefacto, lee algunos archivos del mismo. Durante este proceso, en algunos casos, no se realizó ninguna validación para verificar si el archivo era un enlace simbólico. Esto hizo posible leer archivos arbitrarios en el system, potencialmente filtrando información confidencial. Este problema se resolvió en la versión `1.16.0`. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno