CVE-2021-39132

YAML deserialization can run untrusted code

Severity Score

8.8

*CVSS v3.1

Exploit Likelihood

*EPSS

Affected Versions

*CPE

Public Exploits

*Multiple Sources

Exploited in Wild

*KEV

Decision

*SSVC

Descriptions

Rundeck is an open source automation service with a web console, command line tools and a WebAPI. Prior to version 3.3.14 and version 3.4.3, an authorized user can upload a zip-format plugin with a crafted plugin.yaml, or a crafted aclpolicy yaml file, or upload an untrusted project archive with a crafted aclpolicy yaml file, that can cause the server to run untrusted code on Rundeck Community or Enterprise Edition. An authenticated user can make a POST request, that can cause the server to run untrusted code on Rundeck Enterprise Edition. The zip-format plugin issues requires authentication and authorization to these access levels, and affects all Rundeck editions:`admin` level access to the `system` resource type. The ACL Policy yaml file upload issues requires authentication and authorization to these access levels, and affects all Rundeck editions: `create` `update` or `admin` level access to a `project_acl` resource, and/or`create` `update` or `admin` level access to the `system_acl` resource. The unauthorized POST request requires authentication, but no specific authorization, and affects Rundeck Enterprise only. Patches are available in versions 3.4.3, 3.3.14

Rundeck es un servicio de automatización de código abierto con una consola web, herramientas de línea de comandos y una WebAPI. Antes de la versión 3.3.14 y la versión 3.4.3, un usuario autorizado puede subir un plugin en formato zip con un plugin.yaml manipulado, o un archivo aclpolicy yaml manipulado, o subir un archivo de proyecto no fiable con un archivo aclpolicy yaml manipulado, que puede hacer que el servidor ejecute código no fiable en Rundeck Community o Enterprise Edition. Un usuario autenticado puede realizar una solicitud POST, que puede hacer que el servidor ejecute código no fiable en Rundeck Enterprise Edition. Los problemas del plugin zip-format requieren autenticación y autorización a estos niveles de acceso, y afecta a todas las ediciones de Rundeck:Nivel de acceso `admin` al tipo de recurso `system`. Los problemas de carga de archivos yaml de la política ACL requieren autenticación y autorización para estos niveles de acceso, y afectan a todas las ediciones de Rundeck: Acceso de nivel `create` `update` o `admin` a un recurso `project_acl`, y/o acceso de nivel `create` `update` o `admin` al recurso `system_acl`. La solicitud POST no autorizada requiere autenticación, pero no una autorización específica, y sólo afecta a Rundeck Enterprise. Los parches están disponibles en las versiones 3.4.3, 3.3.14

*Credits: N/A

Attack Vector

Network

Attack Complexity

Low

Privileges Required

Low

User Interaction

None

Scope

Unchanged

Confidentiality

High

Integrity

High

Availability

High

Attack Vector

Network

Attack Complexity

Low

Authentication

Single

Confidentiality

Partial

Integrity

Partial

Availability

Partial

* Common Vulnerability Scoring System

SSVC

Decision:-

Exploitation

Automatable

Tech. Impact

* Organization's Worst-case Scenario

Timeline

2021-08-16 CVE Reserved
2021-08-30 CVE Published
2024-08-04 CVE Updated
2024-08-18 EPSS Updated
---------- Exploited in Wild
---------- KEV Due Date
---------- First Exploit

CWE

CWE-502: Deserialization of Untrusted Data

CAPEC

References (2)

URL	Tag	Source
https://github.com/rundeck/rundeck/security/advisories/GHSA-q4rf-3fhx-88pf	Third Party Advisory

URL	Date	SRC

URL	Date	SRC
https://github.com/rundeck/rundeck/commit/850d12e21d22833bc148b7f458d7cb5949f829b6	2021-09-08

URL	Date	SRC

Affected Vendors, Products, and Versions

Vendor		Product				Version		Other		Status
Vendor	Product	Version	Other	Status	<-- -->	Vendor	Product	Version	Other	Status
Pagerduty Search vendor "Pagerduty"		Rundeck Search vendor "Pagerduty" for product "Rundeck"				< 3.3.14 Search vendor "Pagerduty" for product "Rundeck" and version " < 3.3.14"		community		Affected
Pagerduty Search vendor "Pagerduty"		Rundeck Search vendor "Pagerduty" for product "Rundeck"				< 3.3.14 Search vendor "Pagerduty" for product "Rundeck" and version " < 3.3.14"		enterprise		Affected
Pagerduty Search vendor "Pagerduty"		Rundeck Search vendor "Pagerduty" for product "Rundeck"				>= 3.4.0 < 3.4.3 Search vendor "Pagerduty" for product "Rundeck" and version " >= 3.4.0 < 3.4.3"		community		Affected
Pagerduty Search vendor "Pagerduty"		Rundeck Search vendor "Pagerduty" for product "Rundeck"				>= 3.4.0 < 3.4.3 Search vendor "Pagerduty" for product "Rundeck" and version " >= 3.4.0 < 3.4.3"		enterprise		Affected