阿里云漏洞库

恢复计算资源的明文密码或令牌

CVE编号

CVE-2019-3893

利用情况

暂无

补丁情况

N/A

披露时间

2019-04-10

漏洞描述

在Foreman中，发现删除计算资源操作，当从Foreman API执行时，导致公开受影响的计算资源的明文密码或令牌。具有“delete_compute_resource”权限的恶意用户可以使用此漏洞来控制由foreman管理的计算资源。 1.20.3,1.21.1,1.22.0之前的版本容易受到攻击。<br>

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://www.openwall.com/lists/oss-security/2019/04/14/2
http://www.securityfocus.com/bid/107846
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-3893
https://github.com/theforeman/foreman/pull/6621
https://projects.theforeman.org/issues/26450

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	redhat	satellite	6.0	-
	运行在以下环境
	应用	theforeman	foreman	*	From (including) 1.20.0	Up to (excluding) 1.20.3
	运行在以下环境
	应用	theforeman	foreman	*	From (including) 1.21.0	Up to (excluding) 1.21.1

攻击路径

网络
攻击复杂度

低
权限要求

高
影响范围

未更改
用户交互

无
可用性

无
保密性

高
完整性

无

CWE-ID	漏洞类型
CWE-732	关键资源的不正确权限授予

恢复计算资源的明文密码或令牌

漏洞描述

解决建议

参考链接

受影响软件情况