Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-09952

Опубликовано: 17 нояб. 2024
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Средний

Описание

Уязвимость сервера сетевой установки Cobbler связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить полный доступ к серверу

Вендор

Cobbler Project

Наименование ПО

Cobbler

Версия ПО

до 3.3.7 (Cobbler)
до 3.2.3 (Cobbler)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удалённого доступа к уязвимому серверу;
- использование средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания удалённых подключений к уязвимому серверу;
- использование «белого» списка IP-адресов для ограничения доступа к уязвимому серверу;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций:
https://github.com/cobbler/cobbler/commit/32c5cada013dc8daa7320a8eda9932c2814742b0
https://github.com/cobbler/cobbler/commit/e19717623c10b29e7466ed4ab23515a94beb2dda
https://github.com/cobbler/cobbler/security/advisories/GHSA-m26c-fcgh-cp6h

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 99%
0.68594
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-47533

CVSS3: 9.8
ubuntu
около 1 года назад

Cobbler, a Linux installation server that allows for rapid setup of network installation environments, has an improper authentication vulnerability starting in version 3.0.0 and prior to versions 3.2.3 and 3.3.7. `utils.get_shared_secret()` always returns `-1`, which allows anyone to connect to cobbler XML-RPC as user `''` password `-1` and make any changes. This gives anyone with network access to a cobbler server full control of the server. Versions 3.2.3 and 3.3.7 fix the issue.

nvd логотип

CVE-2024-47533

CVSS3: 9.8
nvd
около 1 года назад

Cobbler, a Linux installation server that allows for rapid setup of network installation environments, has an improper authentication vulnerability starting in version 3.0.0 and prior to versions 3.2.3 and 3.3.7. `utils.get_shared_secret()` always returns `-1`, which allows anyone to connect to cobbler XML-RPC as user `''` password `-1` and make any changes. This gives anyone with network access to a cobbler server full control of the server. Versions 3.2.3 and 3.3.7 fix the issue.

debian логотип

CVE-2024-47533

CVSS3: 9.8
debian
около 1 года назад

Cobbler, a Linux installation server that allows for rapid setup of ne ...

suse-cvrf логотип

openSUSE-SU-2024:0382-1

suse-cvrf
около 1 года назад

Security update for cobbler

suse-cvrf логотип

openSUSE-SU-2024:0370-1

suse-cvrf
около 1 года назад

Security update for cobbler

EPSS

Процентиль: 99%
0.68594
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2