CVE-2025-0928

Опубликовано: 08 июл. 2025

Источник: nvd

CVSS3: 8.8

EPSS Низкий

Описание

In Juju versions prior to 3.6.8 and 2.9.52, any authenticated controller user was allowed to upload arbitrary agent binaries to any model or to the controller itself, without verifying model membership or requiring explicit permissions. This enabled the distribution of poisoned binaries to new or upgraded machines, potentially resulting in remote code execution.

Ссылки

https://github.com/juju/juju/security/advisories/GHSA-4vc8-wvhw-m5gv
Exploit
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:canonical:juju:*:*:*:*:*:*:*:*

Версия до 2.9.52 (исключая)

cpe:2.3:a:canonical:juju:*:*:*:*:*:*:*:*

Версия от 3.0 (включая) до 3.6.8 (исключая)

EPSS

Процентиль: 59%

0.00381

Низкий

8.8 High

CVSS3

Дефекты

CWE-285

CWE-434

Связанные уязвимости

CVE-2025-0928

CVSS3: 8.8

ubuntu

7 месяцев назад

CVE-2025-0928

CVSS3: 8.8

debian

7 месяцев назад

In Juju versions prior to 3.6.8 and 2.9.52, any authenticated controll ...

GHSA-4vc8-wvhw-m5gv

CVSS3: 8.8

github

7 месяцев назад

Juju allows arbitrary executable uploads via authenticated endpoint without authorization

EPSS

Процентиль: 59%

0.00381

Низкий

8.8 High

CVSS3

Дефекты

CWE-285

CWE-434