Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-03941

Опубликовано: 30 апр. 2020
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Критический

Описание

Уязвимость компонента master.py системы управления конфигурациями и удалённого выполнения операций SaltStack связана с недостатком механизма проверки вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения
SaltStack, Inc
АО «ИВК»
АО "НППКТ"

Наименование ПО

Debian GNU/Linux
Salt
Альт 8 СП
ОСОН ОСнова Оnyx

Версия ПО

9 (Debian GNU/Linux)
8 (Debian GNU/Linux)
10 (Debian GNU/Linux)
до 2019.2.4 (Salt)
от 3000 до 3000.2 (Salt)
- (Альт 8 СП)
до 2.5 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
АО «ИВК» Альт 8 СП -
АО "НППКТ" ОСОН ОСнова Оnyx до 2.5

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для salt:
Обновление программного обеспечения до 3000.2+dfsg1-1 или более поздней версии
Для Debian:
Обновление программного обеспечения (пакета salt) до 2018.3.4+dfsg1-6+deb10u1 или более поздней версии
Для ОСОН ОСнова Оnyx:Обновление программного обеспечения salt до версии 2018.3.4+dfsg1-6+deb10u3
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.94421
Критический

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-11651

CVSS3: 9.8
ubuntu
почти 6 лет назад

An issue was discovered in SaltStack Salt before 2019.2.4 and 3000 before 3000.2. The salt-master process ClearFuncs class does not properly validate method calls. This allows a remote user to access some methods without authentication. These methods can be used to retrieve user tokens from the salt master and/or run arbitrary commands on salt minions.

redhat логотип

CVE-2020-11651

CVSS3: 9.8
redhat
почти 6 лет назад

An issue was discovered in SaltStack Salt before 2019.2.4 and 3000 before 3000.2. The salt-master process ClearFuncs class does not properly validate method calls. This allows a remote user to access some methods without authentication. These methods can be used to retrieve user tokens from the salt master and/or run arbitrary commands on salt minions.

nvd логотип

CVE-2020-11651

CVSS3: 9.8
nvd
почти 6 лет назад

An issue was discovered in SaltStack Salt before 2019.2.4 and 3000 before 3000.2. The salt-master process ClearFuncs class does not properly validate method calls. This allows a remote user to access some methods without authentication. These methods can be used to retrieve user tokens from the salt master and/or run arbitrary commands on salt minions.

debian логотип

CVE-2020-11651

CVSS3: 9.8
debian
почти 6 лет назад

An issue was discovered in SaltStack Salt before 2019.2.4 and 3000 bef ...

github логотип

GHSA-pjhf-vpx3-33r3

CVSS3: 9.8
github
больше 3 лет назад

SaltStack Salt Unauthenticated Remote Code Execution

EPSS

Процентиль: 100%
0.94421
Критический

9.8 Critical

CVSS3

10 Critical

CVSS2