发布日期：2021-04-14
更新日期：2021-04-20

受影响系统：

Palo Alto Network Bridgecrew Checkov 2.0<= Version <2.0.26

描述：

---

CVE(CAN) ID: CVE-2021-3035

Checkov是infrastructure-as-code的静态代码分析工具。它扫描使用Terraform、Cloudformation、Kubernetes、Serverless或ARM模板提供的云基础设施，并检测安全性和合规性错误配置。
Bridgecrew Checkov 2.0.26之前版本存在不安全反序列化漏洞。攻击者可利用该漏洞在处理恶意terraform文件时执行任意代码。

<*来源：Kevin Higgs（Trail of Bits）
  
  链接：https://security.paloaltonetworks.com/CVE-2021-3035
*>

建议：

---

厂商补丁：

Palo Alto Network
-----------------
Palo Alto Network已经为此发布了一个安全公告（CVE-2021-3035）以及相应补丁:
CVE-2021-3035：Bridgecrew Checkov: Unsafe deserialization of Terraform files allows code execution
链接：https://security.paloaltonetworks.com/CVE-2021-3035

浏览次数：1010
严重程度：0（网友投票）