Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-15588

Опубликовано: 09 апр. 2024
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость компонента Pulpcore платформы для централизованного управления жизненным циклом продуктов Red Hat Satellite связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти процесс аутентификации

Вендор

ООО «Ред Софт»
Red Hat Inc.

Наименование ПО

РЕД ОС
Red Hat Satellite

Версия ПО

7.3 (РЕД ОС)
6.13 for RHEL 8 (Red Hat Satellite)
6.14 for RHEL 8 (Red Hat Satellite)
6.16 for RHEL 8 (Red Hat Satellite)
6.16 for RHEL 9 (Red Hat Satellite)
6.15 for RHEL 8 (Red Hat Satellite)
от 6.13 до 6.15 включительно (Red Hat Satellite)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://bugzilla.redhat.com/show_bug.cgi?id=2305718
Для РедОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-foreman-cve-2024-7923/?sphrase_id=1370860
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-7923

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 58%
0.00367
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

redhat логотип

CVE-2024-7923

CVSS3: 9.8
redhat
больше 1 года назад

An authentication bypass vulnerability has been identified in Pulpcore when deployed with Gunicorn versions prior to 22.0, due to the puppet-pulpcore configuration. This issue arises from Apache's mod_proxy not properly unsetting headers because of restrictions on underscores in HTTP headers, allowing authentication through a malformed header. This flaw impacts all active Satellite deployments (6.13, 6.14 and 6.15) which are using Pulpcore version 3.0+ and could potentially enable unauthorized users to gain administrative access.

nvd логотип

CVE-2024-7923

CVSS3: 9.8
nvd
больше 1 года назад

An authentication bypass vulnerability has been identified in Pulpcore when deployed with Gunicorn versions prior to 22.0, due to the puppet-pulpcore configuration. This issue arises from Apache's mod_proxy not properly unsetting headers because of restrictions on underscores in HTTP headers, allowing authentication through a malformed header. This flaw impacts all active Satellite deployments (6.13, 6.14 and 6.15) which are using Pulpcore version 3.0+ and could potentially enable unauthorized users to gain administrative access.

redos логотип

ROS-20251203-02

CVSS3: 9.8
redos
15 дней назад

Уязвимость foreman

github логотип

GHSA-pmjc-mxf4-8qwx

CVSS3: 9.8
github
больше 1 года назад

An authentication bypass vulnerability has been identified in Pulpcore when deployed with Gunicorn versions prior to 22.0, due to the puppet-pulpcore configuration. This issue arises from Apache's mod_proxy not properly unsetting headers because of restrictions on underscores in HTTP headers, allowing authentication through a malformed header. This flaw impacts all active Satellite deployments (6.13, 6.14 and 6.15) which are using Pulpcore version 3.0+ and could potentially enable unauthorized users to gain administrative access.

EPSS

Процентиль: 58%
0.00367
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2