Informazioni sul CVE-2021-21371

Execution of untrusted code through config file

CWE ID: CWE-502

Base Score (CVSS): N/A

CVE: CVE-2021-21371

Descrizione: Tenable for Jira Cloud is an open source project designed to pull Tenable.io vulnerability data, then generate Jira Tasks and sub-tasks based on the vulnerabilities’ current state. It published in pypi as “tenable-jira-cloud”. In tenable-jira-cloud before version 1.1.21, it is possible to run arbitrary commands through the yaml.load() method. This could allow an attacker with local access to the host to run arbitrary code by running the application with a specially crafted YAML configuration file. This is fixed in version 1.1.21 by using yaml.safe_load() instead of yaml.load().

Vettore di attacco CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 4.9 (Medium)

Riassunto: Accesso: Local, Privilegi: None, Interazione utente: Required, Confidenzialità: Low, Integrità: Low, Disponibilità: None.

Dettaglio del Vettore

Metrica Valore Significato Descrizione
Attack Vector (AV) L Local L’attaccante deve avere accesso locale al sistema.
Attack Complexity (AC) L Low L’attacco non richiede condizioni particolari.
Privileges Required (PR) N None Non sono richiesti privilegi.
User Interaction (UI) R Required È richiesta l’interazione di un utente.
Scope (S) C Changed La vulnerabilità impatta su componenti esterni.
Confidentiality Impact (C) L Low Impatto limitato.
Integrity Impact (I) L Low Impatto limitato.
Availability Impact (A) N None Nessun impatto sulla disponibilità.

Riferimenti esterni

Prodotti interessati

  • tenable – integration-jira-cloud

Relazioni con altri prodotti

Produttore:tenable
Prodotto: integration-jira-cloud
Anno: 2021
CWE: CWE-502
CVSS: 0.0

Ulteriori risorse disponibili