CVE-2023-36467

ALT: (7,6)

CVSS3: 6,5

AWS data.all podria permetre a un atacant remot autenticat executar codi arbitrari al sistema causat per una fallada d’injecció d’ordres de Python al camp Template en configurar una canalització de dades. Mitjançant l’enviament d’una sol·licitud especialment dissenyada, l’atacant podria explotar aquesta vulnerabilitat per executar codi arbitrari al sistema.

Sistemes Afectats

• AWS data.all 1.2.0
• AWS data.all 1.5.1

Remediació
Actualitzeu a l’última versió de data.all (1.5.2 o posterior), disponible al repositori GIT d’AWS data.all. Per més informació, podeu consultar l’apartat de les referències.

Referències

• https://github.com/awslabs/aws-dataall/security/advisories/GHSA-m922-chh7-8qcr
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-36467