Arvados is an open source platform for managing, processing, and sharing genomic and other large scientific and biomedical data. A remote code execution (RCE) vulnerability in the Arvados Workbench allows authenticated attackers to execute arbitrary code via specially crafted JSON payloads. This exists in all versions up to 2.4.1 and is fixed in 2.4.2. This vulnerability is specific to the Ruby on Rails Workbench application (“Workbench 1”). We do not believe any other Arvados components, including the TypesScript browser-based Workbench application (“Workbench 2”) or API Server, are vulnerable to this attack. For versions of Arvados earlier than 2.4.2: remove the Ruby-based "Workbench 1" app ("apt-get remove arvados-workbench") from your installation as a workaround.
Arvados es una plataforma de código abierto para administrar, procesar y compartir datos genómicos y otros grandes datos científicos y biomédicos. Una vulnerabilidad de ejecución de código remota (RCE) en Arvados Workbench permite a atacantes autenticados ejecutar código arbitrario por medio de cargas útiles JSON especialmente diseñadas. Esto se presenta en todas las versiones hasta 2.4.1 y ha sido corregido en versión 2.4.2. Esta vulnerabilidad es específica de la aplicación Ruby on Rails Workbench ("Workbench 1"). No creemos que ningún otro componente de Arvados, incluyendo la aplicación TypesScript basada en el navegador Workbench ("Workbench 2") o el Servidor API, sean vulnerables a este ataque. Para versiones de Arvados anteriores a 2.4.2: elimine la aplicación "Workbench 1" basada en Ruby ("apt-get remove arvados-workbench") de su instalación como mitigación.
