Katello 1.5.0-14 Administrator Account 输入验证漏洞

CVE编号

CVE-2013-2143

利用情况

暂无

补丁情况

N/A

披露时间

2014-04-18
漏洞描述
Katello是一个系统管理引擎,提供配置管理、订阅管理、配置和内容管理的工作流。

Katello安全绕过漏洞。由于'users'控制的'update_roles'函数缺少授权检查用户,允许攻击者改变他们的管理帐户,获得权限提升。
解决建议
目前没有详细解决方案提供:
http://www.katello.org/
参考链接
http://packetstormsecurity.com/files/125866/Katello-Red-Hat-Satellite-users-u...
http://www.exploit-db.com/exploits/32515
http://www.osvdb.org/104981
http://www.securityfocus.com/bid/66434
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 katello katello * Up to
(including)
1.5.0-14
运行在以下环境
应用 redhat network_satellite - -
CVSS3评分
6.5
  • 攻击路径
    网络
  • 攻击复杂度
  • 权限要求
    一次
  • 影响范围
    N/A
  • 用户交互
  • 可用性
    部分地
  • 保密性
    部分地
  • 完整性
    部分地
AV:N/AC:L/Au:S/C:P/I:P/A:P
CWE-ID 漏洞类型
CWE-20 输入验证不恰当
阿里云安全产品覆盖情况