CVE-2025-53513

Опубликовано: 08 июл. 2025

Источник: nvd

CVSS3: 8.8

CVSS3: 6.5

EPSS Низкий

Описание

The /charms endpoint on a Juju controller lacked sufficient authorization checks, allowing any user with an account on the controller to upload a charm. Uploading a malicious charm that exploits a Zip Slip vulnerability could allow an attacker to gain access to a machine running a unit through the affected charm.

Ссылки

https://github.com/juju/juju/security/advisories/GHSA-24ch-w38v-xmh8
Exploit
Vendor Advisory
https://github.com/juju/juju/security/advisories/GHSA-24ch-w38v-xmh8
Exploit
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:canonical:juju:*:*:*:*:*:*:*:*

Версия до 2.9.52 (исключая)

cpe:2.3:a:canonical:juju:*:*:*:*:*:*:*:*

Версия от 3.0 (включая) до 3.6.8 (исключая)

EPSS

Процентиль: 27%

0.00096

Низкий

8.8 High

CVSS3

6.5 Medium

CVSS3

Дефекты

CWE-24

CWE-22

Связанные уязвимости

CVE-2025-53513

CVSS3: 8.8

ubuntu

7 месяцев назад

CVE-2025-53513

CVSS3: 8.8

debian

7 месяцев назад

The /charms endpoint on a Juju controller lacked sufficient authorizat ...

GHSA-24ch-w38v-xmh8

CVSS3: 8.8

github

7 месяцев назад

Juju zip slip vulnerability via authenticated endpoint

EPSS

Процентиль: 27%

0.00096

Низкий

8.8 High

CVSS3

6.5 Medium

CVSS3

Дефекты

CWE-24

CWE-22