Foreman是一套用于物理和虚拟服务器中的生命周期管理工具。该工具提供服务开通、配置管理以及报告状态等功能。
Foreman API and UI存在提权漏洞。当一个被限制的特定组织或位置的用户访问Foreman时,API或部分的UI是无限制的。攻击者如果有必要的权限就可以利用该漏洞去查看、编辑和删除非相关组织和位置的数据。
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://github.com/theforeman/foreman/commit/1144040f444b4bf4aae81940a150b26b23b4623c
https://github.com/theforeman/foreman/commit/a30ab44ed6f140f1791afc51a1e448afc2ff28f9