Microsoft ha advertido a sus usuarios que deben instalar la versión actualizada de PowerShell 7 con urgencia para protegerse contra una vulnerabilidad de ejecución remota de código (RCE) en .NET.
PowerShell es una línea de comando para la gestión de la configuración que proporciona un shell y un lenguaje de scripting para la automatización de tareas. Utiliza la arquitectura .NET, que contiene un paquete de codificación de texto que recientemente ha sido parcheado contra la vulnerabilidad RCE.
"Si gestionas tus recursos de Azure desde la versión 7.0 o 7.1 de PowerShell, hemos publicado nuevas versiones de PowerShell para solucionar una vulnerabilidad de ejecución remota de código de .NET Core en las versiones 7.0 y 7.1. Te recomendamos que instales las versiones actualizadas lo antes posible", dice la compañía en el sitio web de Azure.
Vulnerabilidad crítica
La vulnerabilidad de .NET ha sido identificada como una vulnerabilidad crítica con una puntuación de 9,8 sobre 10. Fue parcheada en abril.
La vulnerabilidad, clasificada como CVE-2021-26701, estaba en el paquete System.Text.Encodings.Web y afecta a .NET 5.0, .NET Core 3.1 y .NET Core 2.1. Para evitar el agujero, Microsoft insta a los usuarios a actualizar PowerShell v7.0 a 7.0.6. Del mismo modo, los usuarios de PowerShell v7.1 deben cambiar a la versión 7.1.3.
Más allá de PowerShell, Microsoft también informa a los desarrolladores para que eliminen esta vulnerabilidad de sus aplicaciones basadas en .NET: "el paquete vulnerable es System.Text.Encodings.Web. Actualizar su paquete y volver a desplegar su aplicación debería ser suficiente para solucionar esta vulnerabilidad".
