CVE-2017-2293

Опубликовано: 01 фев. 2018

Источник: nvd

CVSS3: 4.9

CVSS2: 5.5

EPSS Низкий

Описание

Versions of Puppet Enterprise prior to 2016.4.5 or 2017.2.1 shipped with an MCollective configuration that allowed the package plugin to install or remove arbitrary packages on all managed agents. This release adds default configuration to not allow these actions. Customers who rely on this functionality can change this policy.

Ссылки

https://puppet.com/security/cve/cve-2017-2293
Vendor Advisory
https://puppet.com/security/cve/cve-2017-2293
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:puppet:puppet_enterprise:*:*:*:*:*:*:*:*

Версия до 2016.4.5 (исключая)

cpe:2.3:a:puppet:puppet_enterprise:2016.5.1:*:*:*:*:*:*:*

cpe:2.3:a:puppet:puppet_enterprise:2016.5.2:*:*:*:*:*:*:*

cpe:2.3:a:puppet:puppet_enterprise:2017.1.0:*:*:*:*:*:*:*

cpe:2.3:a:puppet:puppet_enterprise:2017.1.1:*:*:*:*:*:*:*

EPSS

Процентиль: 45%

0.00225

Низкий

4.9 Medium

CVSS3

5.5 Medium

CVSS2

Дефекты

NVD-CWE-noinfo

Связанные уязвимости

CVE-2017-2293

CVSS3: 4.9

debian

около 8 лет назад

Versions of Puppet Enterprise prior to 2016.4.5 or 2017.2.1 shipped wi ...

GHSA-wg8j-wm67-mv7w

CVSS3: 4.9

github

больше 3 лет назад

EPSS

Процентиль: 45%

0.00225

Низкий

4.9 Medium

CVSS3

5.5 Medium

CVSS2

Дефекты

NVD-CWE-noinfo