V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
PuppetПриложениеnvd,anchore_overrides

Puppet Server

Уязвимости
8
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.07884

Распределение по критичности

Критический
2
Высокий
3
Средний
1
Низкий
2

Затронутые диапазоны версий

2018.1.8–2023.8.46.0.0–6.4.0< 5.3.13< 6.17.1
Также сопоставлено как (исходные строки): puppet_agent,puppet_server,puppet_enterprise,puppetdb

Топ уязвимостей

CVE-2021-27023В Puppet Agent и Puppet Server обнаружена уязвимость, которая может привести к утечке HTTP-учетных данных при перенаправлении HTTP на другой хост. Это похоже на CVE-2018-1000007.
CVE-2016-2785Puppet Server до 2.3.2 и Ruby puppetmaster в Puppet 4.x до 4.4.2 и в Puppet Agent до 1.4.2 могут позволить удаленным злоумышленникам обходить предполагаемые ограничения доступа auth.conf, используя неправильное декодирование URL.
CVE-2025-5459Пользователь с определенными разрешениями на редактирование группы узлов и специально созданным параметром класса может быть использован для выполнения команд в качестве корня на основном хосте. Он влияет на версии Puppet Enterprise 2018.1.8 до 2023.8.3 и 2025.3 и был решен в версиях 2023.8.4 и 2025.4.0.
CVE-2023-5255Для сертификатов, которые используют функцию автоматического продления в Puppet Server, существует недостаток, который препятствует отзыву сертификатов.
CVE-2020-7943Puppet Server и PuppetDB предоставляют полезную информацию о производительности и отладочную информацию через свои конечные точки API метрик. Для PuppetDB это может содержать такие вещи, как имена хостов. Puppet Server сообщает имена ресурсов и заголовки для определенных типов (которые могут содержать конфиденциальную информацию), а также имена функций и имена классов. Ранее эти конечные точки были открыты для локальной сети. PE 2018.1.13 и 2019.5.0, Puppet Server 6.9.2 и 5.3.12 и PuppetDB 6.9.1 и 5.2.13 отключают trapperkeeper-metrics /v1 metrics API и по умолчанию разрешают только доступ /v2 на localhost. Это затрагивает версии программного обеспечения: Puppet Enterprise 2018.1.x stream до 2018.1.13 Puppet Enterprise до 2019.5.0 Puppet Server до 6.9.2 Puppet Server до 5.3.12 PuppetDB до 6.9.1 PuppetDB до 5.2.13 Устранено в: Puppet Enterprise 2018.1.13 Puppet Enterprise 2019.5.0 Puppet Server 6.9.2 Puppet Server 5.3.12 PuppetDB 6.9.1 PuppetDB 5.2.13.
CVE-2023-1894В Puppet Server 7.9.2 обнаружена проблема с отказом в обслуживании из-за регулярного выражения (ReDoS) при проверке сертификатов. Проблема, связанная с специально созданными именами сертификатов, значительно замедляла работу сервера.
CVE-2018-11751Предыдущие версии Puppet Agent не проверяли одноранговый узел в SSL-соединении перед загрузкой CRL. Эта проблема решена в Puppet Agent 6.4.0.
CVE-2014-7170Состояние гонки в Puppet Server 0.2.0 позволяет локальным пользователям получать конфиденциальную информацию, получая к ней доступ в промежутке между установкой или обновлением пакета и запуском службы.
Перейти к вендору →Открыть в каталоге с фильтром по продукту →