Informazioni sul CVE-2024-27093
Minder trusts client-provided mapping from repo name to upstream ID
CWE ID: CWE-20
Base Score (CVSS): N/A
CVE: CVE-2024-27093
Descrizione: Minder è una piattaforma per la Supply Chain di Sicurezza Software. In versioni precedenti a 0.0.31, un attaccante può registrare un repository con un ID upstream non valido o diverso, il che causa Minder di segnalare il repository come registrato, ma non risolvere eventuali modifiche future che confliggono con le politiche (poiché gli webhook per il repo non corrispondono a repository noti nel database). Quando si tenta di registrare un repo con un ID diverso, il fornitore registrato deve avere l’amministrazione sul repo denominato, altrimenti si verificherà un errore 404. Allo stesso modo, se il token fornito per il repository non ha accesso al repo, le remediation non saranno applicate con successo. Infine, sembra che le azioni di riconciliazione non vengano eseguite sui repo di questo tipo di mismatch. Questo sembra principalmente una vulnerabilità di denial-of-service. Questa vulnerabilità è stata corretta in versione 0.20240226.1425+ref.53868a8.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:L
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: Low, Interazione utente: Required, Confidenzialità: None, Integrità: Low, Disponibilità: Low.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | L | Low | Richiede pochi privilegi. |
| User Interaction (UI) | R | Required | È richiesta l’interazione di un utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | N | None | Nessun impatto sulla riservatezza. |
| Integrity Impact (I) | L | Low | Impatto limitato. |
| Availability Impact (A) | L | Low | Interferenza limitata. |
Riferimenti esterni
- https://github.com/stacklok/minder/security/advisories/GHSA-q6h8-4j2v-pjg4
- https://github.com/stacklok/minder/commit/53868a878e93f29c43437f96dbc990b548e48d1d
Prodotti interessati
- stacklok – minder
Relazioni con altri prodotti
Produttore:stacklok
Prodotto: minder
Anno: 2024
CWE: CWE-20
CVSS: 0.0