CVE-2022-2528

MITJÀ: (6.3)

CVSS3: 5.5

Octopus Deploy podria permetre a un atacant remot autenticat carregar arxius arbitraris, causat per un defecte després de la reindexació de paquets. En enviar una sol·licitud HTTP especialment dissenyada, un atacant remot podria explotar aquesta vulnerabilitat per a carregar un paquet maliciós, la qual cosa podria permetre a l’atacant executar codi arbitrari en el sistema vulnerable.

Sistemes Afectats

• Octopus Deploy Octopus Deploy 2018
• Octopus Deploy Octopus Deploy 2019
• Octopus Deploy Octopus Deploy 2020
• Octopus Deploy Octopus Deploy 2021
• Octopus Deploy Octopus Deploy 2022.1
• Octopus Deploy Octopus Deploy 2022.2
• Octopus Deploy Octopus Deploy 2022.3

Remediació
Consulti l’avís de seguretat 2022-13 d’Octupus per a obtenir informació sobre actualitzacions o solucions suggerides

Referències

• https://advisories.octopus.com/post/2022/sa2022-13/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2528