V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
PulpprojectПриложениеnvd

Pulp

Уязвимости
13
Эксплуатируемые
0
Макс. CVSS
8.1
Макс. EPSS
0.02193

Распределение по критичности

Критический
0
Высокий
4
Средний
9
Низкий
0

Затронутые диапазоны версий

< 2.16.2≤ 2.16.0≤ 2.2.1-1≤ 2.8.1≤ 2.8.2-1≤ 2.8.4
Также сопоставлено как (исходные строки): pulp

Топ уязвимостей

CVE-2015-5263pulp-consumer-client с 2.4.0 по 2.6.3 не проверяет подписи TLS-сертификата сервера при получении открытого ключа сервера при регистрации.
CVE-2016-3112client/consumer/cli.py в Pulp до версии 2.8.3 записывает закрытые ключи потребителя в etc/pki/pulp/consumer/consumer-cert.pem как доступные для чтения всем пользователям, что позволяет удаленным аутентифицированным пользователям получать закрытые ключи потребителя и повышать привилегии, читая /etc/pki/pulp/consumer/consumer-cert и аутентифицируясь как пользователь-потребитель.
CVE-2013-7450Pulp до 2.3.0 использует один и тот же ключ и сертификат центра сертификации для всех установок.
CVE-2016-3108Скрипт pulp-gen-nodes-certificate в Pulp до версии 2.8.3 позволяет локальным пользователям раскрывать ключи или записывать в произвольные файлы через атаку с использованием символических ссылок.
CVE-2018-10917pulp 2.16.x и, возможно, более старые версии уязвимы для неправильного анализа пути. Злонамеренный пользователь или злонамеренный репозиторий iso feed может записывать данные в места, доступные пользователю 'apache'. Это может привести к перезаписи опубликованного контента в других репозиториях iso.
CVE-2024-7143Обнаружена ошибка в пакете Pulp. Когда объект управления доступом на основе ролей (RBAC) в Pulp настроен на назначение разрешений при его создании, он использует `AutoAddObjPermsMixin` (обычно метод add_roles_for_object_creator). Этот метод находит создателя объекта, проверяя текущего аутентифицированного пользователя. Для объектов, созданных в рамках задачи, этот текущий пользователь устанавливается первым пользователем с любыми разрешениями на объект задачи. Это означает, что самый старый пользователь с разрешениями задачи на уровне модели/домена всегда будет установлен в качестве текущего пользователя задачи, даже если он не отправлял задачу. Поэтому всем объектам, созданным в задачах, будут назначены разрешения этому самому старому пользователю, а создающий пользователь ничего не получит.
CVE-2016-3696Скрипт pulp-qpid-ssl-cfg в Pulp до версии 2.8.5 позволяет локальным пользователям получить ключ CA.
CVE-2016-3704Pulp до версии 2.8.5 использует $RANDOM bash небезопасным способом для генерации паролей.
CVE-2018-1090В Pulp до версии 2.16.2 секреты передаются в override_config при запуске задачи и затем становятся доступными для чтения всем пользователям с доступом для чтения к дистрибьютору/импортеру. Затем злоумышленник с доступом к API может просматривать эти секреты.
CVE-2016-3111pulp.spec в процессе установки для Pulp 2.8.3 генерирует пары RSA-ключей, используемые для проверки сообщений между сервером pulp и потребителями pulp, в каталоге, доступном для чтения всем пользователям, прежде чем впоследствии изменить разрешения, что может позволить локальным пользователям читать сгенерированные RSA-ключи, читая файлы ключей во время выполнения процесса установки.
CVE-2016-3107Сертификат узла в Pulp до 2.8.3 содержит закрытый ключ и хранится в файле с правами всеобщего чтения в каталоге "/etc/pki/pulp/nodes/", что позволяет локальным пользователям получать доступ к конфиденциальным данным.
CVE-2016-3095server/bin/pulp-gen-ca-certificate в Pulp до 2.8.2 позволяет локальным пользователям читать сгенерированный закрытый ключ.
CVE-2016-3106Pulp до 2.8.3 создает временный каталог во время генерации ключа CA небезопасным способом.
Перейти к вендору →Открыть в каталоге с фильтром по продукту →