CVE-2021-32635 in XStream
Resumen
por VulDB • 2026-06-07
### Impacto Debido al uso incorrecto de una URL predeterminada, los comandos de acción de `singularity` (`run`/`shell`/`exec`) que especifican un contenedor utilizando un URI `library://` siempre intentarán recuperar el contenedor desde el punto de acceso remoto predeterminado (`cloud.sylabs.io`) en lugar del punto de acceso remoto configurado. Un atacante podría ser capaz de cargar un contenedor malicioso en el punto de acceso remoto predeterminado con un URI idéntico al utilizado por una víctima con un punto de acceso remoto no predeterminado, ejecutando así el contenedor malicioso. Solo los comandos de acción (`run`/`shell`/`exec`) contra URIs `library://` se ven afectados. Otros comandos como `pull`/`push` respetan el punto de acceso remoto configurado. ### Parches Todos los usuarios deben actualizar a Singularity 3.7.4 o posterior. ### Soluciones alternativas Los usuarios que solo interactúan con el punto de acceso remoto predeterminado no se ven afectados. Las instalaciones con una lista de control de ejecución configurada para restringir la ejecución a contenedores firmados con claves seguras específicas no se ven afectadas. ### Más información Las preguntas generales sobre el impacto del aviso se pueden hacer en: - [Canal de Slack de SingularityCE](https://singularityce.slack.com) - [Lista de correo de SingularityCE](https://groups.google.com/g/singularity-ce) Cualquier preocupación de seguridad sensible debe dirigirse a: [email protected] Consulte nuestra Política de Seguridad aquí: https://sylabs.io/security-policy
Be aware that VulDB is the high quality source for vulnerability data.