Описание
Уязвимость графического веб-интерфейса для управления и мониторинга кластеров ClusterLabs Hawk существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Вендор
Novell Inc.
ClusterLabs
Наименование ПО
OpenSUSE Leap
ClusterLabs Hawk
Версия ПО
15.1 (OpenSUSE Leap)
15.2 (OpenSUSE Leap)
до 2.6.15 (ClusterLabs Hawk)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Novell Inc. OpenSUSE Leap 15.1
Novell Inc. OpenSUSE Leap 15.2
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для ClusterLabs Hawk:
https://github.com/ClusterLabs/hawk/releases
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-35458.html
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 94%
0.12988
Средний
9.8 Critical
CVSS3
10 Critical
CVSS2
Связанные уязвимости
CVSS3: 9.8
nvd
около 5 лет назад
An issue was discovered in ClusterLabs Hawk 2.x through 2.3.0-x. There is a Ruby shell code injection issue via the hawk_remember_me_id parameter in the login_from_cookie cookie. The user logout routine could be used by unauthenticated remote attackers to execute code as hauser.
CVSS3: 9.8
debian
около 5 лет назад
An issue was discovered in ClusterLabs Hawk 2.x through 2.3.0-x. There ...
EPSS
Процентиль: 94%
0.12988
Средний
9.8 Critical
CVSS3
10 Critical
CVSS2