treeverse lakeFS bis 1.49.x Environment Variable LAKEFS_BLOCKSTORE_S3_DISABLE_PRE_SIGNED_MULTIPART Denial of Service

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
5.3$0-$5k0.00

Zusammenfassunginfo

In treeverse lakeFS bis 1.49.x wurde eine problematische Schwachstelle entdeckt. Betroffen hiervon ist ein unbekannter Ablauf der Komponente Environment Variable Handler. Dank Manipulation des Arguments LAKEFS_BLOCKSTORE_S3_DISABLE_PRE_SIGNED_MULTIPART mit unbekannten Daten kann eine Denial of Service-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird als CVE-2025-27100 geführt. Der Angriff kann remote ausgeführt werden. Es ist kein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.

Detailsinfo

Eine problematische Schwachstelle wurde in treeverse lakeFS bis 1.49.x ausgemacht. Davon betroffen ist eine unbekannte Funktion der Komponente Environment Variable Handler. Dank der Manipulation des Arguments LAKEFS_BLOCKSTORE_S3_DISABLE_PRE_SIGNED_MULTIPART mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-400. Dies wirkt sich aus auf die Verfügbarkeit. CVE fasst zusammen:

lakeFS is an open-source tool that transforms your object storage into a Git-like repository. In affected versions an authenticated user can crash lakeFS by exhausting server memory. This is an authenticated denial-of-service issue. This problem has been patched in version 1.50.0. Users on versions 1.49.1 and below are affected. Users are advised to upgrade. Users unable to upgrade should either set the environment variable `LAKEFS_BLOCKSTORE_S3_DISABLE_PRE_SIGNED_MULTIPART` to `true` or configure the `disable_pre_signed_multipart` key to true in their config yaml.

Auf github.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet seit dem 18.02.2025 als CVE-2025-27100 statt. Sie gilt als leicht auszunutzen. Der Angriff kann über das Netzwerk passieren. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. MITRE ATT&CK führt die Angriffstechnik T1499 für diese Schwachstelle.

Ein Upgrade auf die Version 1.50.0 vermag dieses Problem zu beheben. Die Schwachstelle lässt sich auch durch das Einspielen des Patches 3a625752acdf3f8e137bec20451e71d0f9fa82f2 beheben. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Aktualisieren auf eine neue Version empfohlen.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Produktinfo

Hersteller

Name

Version

Lizenz

Webseite

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 5.4
VulDB Meta Temp Score: 5.3

VulDB Base Score: 4.3
VulDB Temp Score: 4.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CNA Base Score: 6.5
CNA Vector (GitHub_M): 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Denial of Service
CWE: CWE-400 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Upgrade: lakeFS 1.50.0
Patch: 3a625752acdf3f8e137bec20451e71d0f9fa82f2

Timelineinfo

18.02.2025 🔍
21.02.2025 +3 Tage 🔍
21.02.2025 +0 Tage 🔍
21.02.2025 +0 Tage 🔍

Quelleninfo

Produkt: github.com

Advisory: GHSA-j7jw-28jm-whr6
Status: Bestätigt

CVE: CVE-2025-27100 (🔍)
GCVE (CVE): GCVE-0-2025-27100
GCVE (VulDB): GCVE-100-296450

Eintraginfo

Erstellt: 21.02.2025 07:36
Anpassungen: 21.02.2025 07:36 (68)
Komplett: 🔍
Cache ID: 216::103

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Interested in the pricing of exploits?

See the underground prices here!