Nuclio — это «бессерверная» платформа для событий и обработки данных в реальном времени. До версии 1.15.20 компонент Nuclio Shell Runtime содержал уязвимость внедрения команд при обработке аргументов, предоставленных пользователем. Когда функция вызывается через HTTP, среда выполнения считывает заголовок X-Nuclio-Arguments и напрямую включает его значение в команды оболочки без какой-либо проверки или очистки.
Эта проблема исправлена в версии 1.15.20.
Показать оригинальное описание (EN)
Nuclio is a "Serverless" framework for Real-Time Events and Data Processing. Prior to version 1.15.20, the Nuclio Shell Runtime component contains a command injection vulnerability in how it processes user-supplied arguments. When a function is invoked via HTTP, the runtime reads the X-Nuclio-Arguments header and directly incorporates its value into shell commands without any validation or sanitization. This issue has been patched in version 1.15.20.
Характеристики атаки
Последствия
Строка CVSS v4.0