CVE-2021-39133

Опубликовано: 30 авг. 2021

Источник: nvd

CVSS3: 7.2

CVSS3: 6.8

CVSS2: 6

EPSS Низкий

Описание

Rundeck is an open source automation service with a web console, command line tools and a WebAPI. Prior to version 3.3.14 and version 3.4.3, a user with admin access to the system resource type is potentially vulnerable to a CSRF attack that could cause the server to run untrusted code on all Rundeck editions. Patches are available in Rundeck versions 3.4.3 and 3.3.14.

Ссылки

https://github.com/rundeck/rundeck/commit/67c4eedeaf9509fc0b255aff15977a5229ef13b9
Patch
Third Party Advisory
https://github.com/rundeck/rundeck/security/advisories/GHSA-3jmw-c69h-426c
Third Party Advisory
https://github.com/rundeck/rundeck/commit/67c4eedeaf9509fc0b255aff15977a5229ef13b9
Patch
Third Party Advisory
https://github.com/rundeck/rundeck/security/advisories/GHSA-3jmw-c69h-426c
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:pagerduty:rundeck:*:*:*:*:*:*:*:*

Версия до 3.3.14 (исключая)

cpe:2.3:a:pagerduty:rundeck:*:*:*:*:*:*:*:*

Версия от 3.4.0 (включая) до 3.4.3 (исключая)

EPSS

Процентиль: 35%

0.00147

Низкий

7.2 High

CVSS3

6.8 Medium

CVSS3

6 Medium

CVSS2

Дефекты

CWE-352

Связанные уязвимости

GHSA-3jmw-c69h-426c

CVSS3: 7.2

github

больше 4 лет назад

Cross-Site Request Forgery (CSRF) can run untrusted code on Rundeck server

EPSS

Процентиль: 35%

0.00147

Низкий

7.2 High

CVSS3

6.8 Medium

CVSS3

6 Medium

CVSS2

Дефекты

CWE-352