Cobbler 允许任何人使用已知密码连接到 cobbler XML-RPC 服务器并进行更改(CVE-2024-47533)
CVE编号
CVE-2024-47533
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-19
漏洞描述
Cobbler是一款用于快速设置网络安装环境的Linux安装服务器。从版本3.0.0开始至版本3.2.3和版本3.3.7之前的版本存在一个不当的身份验证漏洞。`utils.get_shared_secret()`函数始终返回`-1`,这使得任何人都可以使用用户名`''`和密码`-1`连接到Cobbler的XML-RPC接口并进行任何更改。这为具有对Cobbler服务器的网络访问权限的任何用户提供了对服务器的完全控制权。版本3.2.3和版本3.3.7解决了此问题。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 系统 | fedora_39 | cobbler | * | Up to (excluding) 3.3.7-1.fc39 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_40 | cobbler | * | Up to (excluding) 3.3.7-1.fc40 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_41 | cobbler | * | Up to (excluding) 3.3.7-1.fc41 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_EPEL_8 | cobbler3.2 | * | Up to (excluding) 3.2.3-1.el8 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_EPEL_9 | cobbler | * | Up to (excluding) 3.3.7-1.el9 |
|||||
文章评论