V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
anchore_overrides,nvd

Cern

Уязвимости
20
Эксплуатируемые
0
Критический
2
Высокий
4

Топ продуктов

Топ уязвимостей

CVE-2026-29080Уязвимость инъекций SQL в `FilterEngine.create_sqla_query()` позволяет любому аутентифицированному пользователю Rucio выполнять произвольный SQL против базы данных backend через конечную точку поиска DID (`GET /dids/dids/search`). В развертывании Oracle ключи и значения фильтров, управляемые злоумышленником, интерполируются непосредственно в `sqlchemy.text()`` через Python `.format()`, полностью обходя параметризацию. Это позволяет полностью компенсировать базу данных, включая извлечение токенов аутентификации, хэшей паролей и всех управляемых идентификаторов данных. Это касается версий 1.27.0 и более поздних версий до 35.8.5, 38.5, 39.4.2 и 40.1.1. Уязвимость существует в `lib/rucio/core/did_meta_plugins/filter_engine.py` в рамках метода `create_sqla_query()`. Когда диалектом базы данных является Oracle, фильтрующие выражения для столбцов метаданных JSON строятся с использованием текстового `text()` форматирования строк Python. Как «ключе», так и «значимость» — это строки, управляемые злоумышленником, полученные из параметров запроса HTTP. Функция «text()` создает необработанный фрагмент SQL — он не убегает или параметризирует его содержимое. Любой аутентифицированный пользователь Rucio может использовать это через API поиска DID для выполнения произвольного SQL по базе данных бэкэнда. Это может выявить все идентификаторы управляемых данных и чувствительные таблицы, такие как личности, токены, учетные записи, rse_settings и правила, и может позволить изменять содержимое базы данных. Проблема затрагивает развертывание Oracle с использованием плагина json_meta по умолчанию и не влияет на развертывания PostgreSQL или MySQL с использованием этого плагина. Эта уязвимость была исправлена в версиях 35.8.5, 38.5.5, 39.4.2 и 40.1.1.
CVE-2026-29090## Резюме Уязвимость инъекций SQL существует в версиях Rucio 1.30.0 и позже до 35.8.5, 38.5.5, 39.4.2 и 40.1.1, в `FilterEngine.create_postgres_query()`. Это позволяет любому аутентифицированному пользователю Rucio выполнять произвольные SQL против базы метаданных PostgreSQL через конечную точку поиска DID (`GET /dids/<scope>/dids/search`). Когда плагин метаданных `postgres_meta` настроен, управляемые злоумышленником ключи фильтров и значения интерполируются непосредственно в необработанные SQL-строчки через Python `.format()``, а затем переходят к `psycopg3``'s `sql.SQL()`, который рассматривает строку как доверенный синтаксис SQL. В зависимости от привилегий базы данных, назначенных учетной записи службы, эксплуатация может выставлять конфиденциальные таблицы, изменять или удалять метаданные, получать доступ к файлам на стороне сервера или достигать выполнения кода с помощью функций PostgreSQL, таких как COPY. ИЗ ПРОГРАММЫ. Эта проблема затрагивает развертывания, которые явно используют плагин метаданных postgres_meta. Эта уязвимость была исправлена в версиях 35.8.5, 38.5.5, 39.4.2 и 40.1.1.
CVE-2017-1000203ROOT версии 6.9.03 и ниже уязвим для инъекции метасимволов оболочки с аутентификацией в демоне rootd, что приводит к удаленному выполнению кода.
CVE-2026-33046Indico - это система управления событиями, которая использует Flask-Multipass, многоконтактную систему аутентификации для Flask. В версиях до 3.3.12, из-за уязвимостей в TeXLive и неясного синтаксиса LaTeX, которые позволяли обходить дезинфицирующее средство LaTeX от Indico, можно использовать специально созданные фрагменты LaTeX, которые могут считывать локальные файлы или выполнять код с привилегиями пользователя, работающего под управлением Indico на сервере. Обратите внимание, что если рендеринг на стороне сервера LaTeX не используется (т.е. `XELATEX_PATH` не был установлен в `indico.conf`), эта уязвимость не применяется. Рекомендуется обновить до Indico 3.3.12 как можно скорее. Также настоятельно рекомендуется включить контейнерный рендерер LaTeX (используя "подман"), который изолирует его от остальной части системы. В качестве обходного пути удалите настройку `XELATEX_PATH` из `indico.conf` (или прокомментируйте ее или установите ее на `None`) и перезапустите `indico-usgi` и `indico-celery`' службы 'indico-celery`' для отключения функций LaTeX`` "indico-usgi`".
CVE-2024-50633Уязвимость Broken Object Level Authorization (BOLA) в Indico до 3.3.5 позволяет злоумышленникам читать информацию, отправляя специально подготовленный POST-запрос к компоненту /api/principals. ПРИМЕЧАНИЕ: Это оспаривается поставщиком, поскольку продукт намеренно позволяет всем пользователям получать определенную информацию о других аккаунтах (эта функциональность в текущем дизайне не ограничена никакими привилегированными ролями, такими как организатор событий).
CVE-2021-30185CERN Indico до версии 2.3.4 может использовать заголовок Host, предоставленный злоумышленником, в ссылке для сброса пароля.
CVE-2026-25738Indico - это система управления событиями, которая использует Flask-Multipass, многоконтактную систему аутентификации для Flask. Версий до 3.3.10 уязвимы для подделки запроса на стороне сервера. Indico делает исходящие запросы к URL-адресам пользователей в различных местах. Это в основном преднамеренное и часть функциональности Indico, но никогда не предназначено для того, чтобы пользователи могли получать доступ к «специальным» целям, таким как конечные точки локальных хостов или облачных метаданных. Пользователи должны обновиться до версии 3.3.10, чтобы получить патч. Те, у кого нет IP-адресов, которые раскрывают конфиденциальные данные без аутентификации (обычно потому, что они не размещают Indico на AWS), не затронуты. Только организаторы мероприятия могут получить доступ к конечным точкам, где SSRF может использоваться для фактического просмотра данных, возвращенных таким запросом. Для тех, кто доверяет своим организаторам мероприятий, риск также очень ограничен. Для дополнительной безопасности, как до, так и после исправления, можно также использовать общие переменные среды, связанные с прокси (в частности, `http_proxy` и `https_proxy`) для принуждения исходящим запросам проходить через прокси, который ограничивает запросы любым способом, который вы считаете полезным / нужным. Эти экологические переменные необходимо будет установить как на услуги indico-usgi, так и на индико-сельничных услугах.
CVE-2026-28352Indico - это система управления событиями, которая использует Flask-Multipass, многоконтактную систему аутентификации для Flask. В версиях до 3.3.11 конечная точка API, используемая для управления сериями событий, не имеет проверки доступа, что позволяет неавторитетный/несанкционированный доступ к этой конечной точке. Влияние этого ограничивается получением метаданных (титул, цепочка категорий, дата начала / конца) для событий в существующей серии, удалением существующей серии событий и изменением существующей серии событий. Эта уязвимость не допускает несанкционированного доступа к событиям (помимо основных метаданных, упомянутых выше), а также какого-либо несанкционированного взлома данных, позволяющих пользователю, в событиях. Версия 3.3.11 исправляет проблему. В качестве обходного действия используйте веб-сервер для ограничения доступа к конечной точке API управления серией.
CVE-2026-25136Rucio - это программная структура, которая обеспечивает функциональность для организации, управления и доступа к большим объемам научных данных с использованием настраиваемых политик. Отраженная кросс-сайтная уязвимость была расположена в версиях до 35.8.3, 38.5.4 и 39.3.1 в рендеринге Исключительного сообщения ошибки WebUI 500, которая могла позволить злоумышленникам украсть токены сеанса входа пользователей, которые переходят на специально созданный URL. Версии 35.8.3, 38.5.4 и 39.3.1 исправить проблему.
CVE-2024-45399Indico — это система управления событиями, использующая Flask-Multipass, систему многопользовательской аутентификации для Flask. В Indico до версии 3.3.4, что соответствует Flask-Multipass до версии 0.5.5, существует уязвимость межсайтового скриптинга во время создания учетной записи при перенаправлении на URL-адрес `next`. Эксплуатация требует инициирования процесса создания учетной записи со злонамеренно созданной ссылкой, а затем завершения процесса регистрации. Из-за этого она может быть нацелена только на недавно созданных (и, следовательно, непривилегированных) пользователей Indico. Indico 3.3.4 обновляет зависимость от Flask-Multipass до версии 0.5.5, которая исправляет проблему. Те, кто создает пакет Indico самостоятельно и не может обновиться, могут обновить зависимость `flask-multipass` до `>=0.5.5`, что исправит уязвимость. В противном случае можно настроить свой веб-сервер так, чтобы он запрещал запросы, содержащие строку запроса с параметром `next`, который начинается с `javascript:`.
CVE-2026-25739Indico - это система управления событиями, которая использует Flask-Multipass, многоконтактную систему аутентификации для Flask. Версии до 3.3.10 уязвимы для межсайтовых скриптов при загрузке определенных типов файлов в качестве материалов. Пользователи должны обновиться до версии 3.3.10, чтобы получить патч. Для применения самого исправления обновления достаточно, но чтобы извлечь выгоду из строгой Политики безопасности контента (CSP), Индико теперь по умолчанию применяется для загрузки файлов, обновляет конфигурацию веб-сервера в случае, если вы используете nginx с набором Indico `STATIC_FILE_METHOD`` в «xaccelredirect`». Для получения дополнительных указаний ознакомьтесь с консультативной документацией GitHub Security или Indico. Доступны некоторые обходные занятия. Используйте конфигурацию веб-сервера, чтобы применять строгую CSP для конечных точек загрузки материалов, и/или позволяйте только заслуживающим доверия пользователям создавать контент (включая загрузку материалов, которые динамики обычно могут делать) на Indico.
CVE-2026-25733Rucio - это программная структура, которая обеспечивает функциональность для организации, управления и доступа к большим объемам научных данных с использованием настраиваемых политик. Версий до 35.8.3, 38.5.4 и 39.3.1 имеют сохраненную уязвимость Cross-Site Scripting (XSS) в функции Пользовательских правил WebUI, где управляемый злоумышленником вход сохраняется бэкэндом, а затем отображается в WebUI без надлежащей кодировки вывода. Это позволяет произвольное выполнение JavaScript в контексте WebUI для пользователей, которые просматривают затронутые страницы, потенциально позволяя кражу токенов сеансов или несанкционированные действия. Версения 35.8.3, 38.5.4 и 39.3.1 устраняют проблему.
CVE-2025-59035Indico - это система управления мероприятиями, использующая Flask-Multipass, систему аутентификации с несколькими бэкэндами для Flask. В версиях до 3.3.8 существует уязвимость Cross-Site-Scripting при рендеринге кода LaTeX в описаниях вкладов или тезисов. Злоумышленники могут внедрять вредоносный код, если имеют права на создание контента. Рекомендация: Обновите Indico до версии 3.3.8 как можно скорее. В качестве обходного решения разрешите создание контента только доверенным пользователям. Источники: - [1] https://github.com/indico/indico/security/advisories/GHSA-7cf7-9wrr-vrf4 - [2] https://github.com/indico/indico/releases/tag/v3.3.8
CVE-2023-37901Indico - это универсальный веб-инструмент управления мероприятиями с открытым исходным кодом. Существует уязвимость межсайтового скриптинга в запросах подтверждения, обычно используемых при удалении контента из Indico. Для эксплуатации требуется кто-то с правами, как минимум, на отправку (например, докладчик), а затем кто-то другой, чтобы попытаться удалить этот контент. Учитывая, что организаторы мероприятий могут захотеть удалить подозрительно выглядящий контент, когда его обнаружат, существует ощутимый риск успешной реализации такой атаки. Риск этого может быть дополнительно увеличен в сочетании с некоторой социальной инженерией, направляющей жертву к этому контенту. Пользователям необходимо как можно скорее обновиться до Indico 3.2.6. Инструкции по обновлению см. в документации. Пользователи, которые не могут обновиться, должны разрешать только доверенным пользователям управлять категориями, создавать мероприятия или загружать материалы (права "отправки" на вклад/мероприятие). Это уже должно быть так в правильно настроенной системе, когда речь идет об управлении категориями/мероприятиями. Обратите внимание, что конференция, проводящая прием тезисов, активно приглашает внешних докладчиков (которых организаторы могут не знать и, следовательно, не могут полностью доверять) для отправки контента, поэтому необходимо как можно скорее обновиться до исправленной версии, особенно при использовании таких рабочих процессов.
CVE-2026-25138Rucio - это программная структура, которая обеспечивает функциональность для организации, управления и доступа к большим объемам научных данных с использованием настраиваемых политик. До версий 35.8.3, 38.5.4 и 39.3.1 конечная точка входа в систему WebUI возвращает различные сообщения об ошибках в зависимости от того, существует ли отображаемое имя пользователя, что позволяет неаутентифицированным злоумышленникам перечислять действительные имена пользователей. Версии 35.8.3, 38.5.4 и 39.3.1 исправить проблему.
CVE-2025-53640Indico - это система управления мероприятиями, использующая Flask-Multipass, систему аутентификации с несколькими бэкэндами для Flask. В версии 2.2 и до версии 3.3.7 конечная точка, используемая для отображения сведений о пользователях, указанных в определенных полях (таких как ACL), могла быть использована для массового сбора базовой информации о пользователях (такой как имя, принадлежность и электронная почта) [1]. Версия 3.3.7 исправляет эту проблему. Владельцам экземпляров, разрешающим создание учетных записей всем пользователям, рекомендуется ограничить поиск пользователей для менеджеров. В качестве обходного пути можно ограничить доступ к затронутым конечным точкам (например, в конфигурации веб-сервера), но это сломает определенные поля формы, которые больше не смогут отображать сведения о пользователях, указанных в этих полях [2]. Источники: - [1] https://github.com/indico/indico/security/advisories/GHSA-q28v-664f-q6wj - [2] https://docs.getindico.io/en/stable/config/settings/#ALLOW_PUBLIC_USER_SEARCH - [3] https://docs.getindico.io/en/stable/installation/upgrade - [4] https://github.com/indico/indico/releases/tag/v3.3.7
CVE-2026-25736Rucio - это программная структура, которая обеспечивает функциональность для организации, управления и доступа к большим объемам научных данных с использованием настраиваемых политик. Версий до 35.8.3, 38.5.4 и 39.3.1 имеют сохраненную уязвимость Cross-Site Scripting (XSS) в Пользовательском атрибуте RSE WebUI, где контролируемый злоумышленником вход сохраняется бэкэндом, а затем отображается в WebUI без надлежащей кодировки вывода. Это позволяет произвольное выполнение JavaScript в контексте WebUI для пользователей, которые просматривают затронутые страницы, потенциально позволяя кражу токенов сеансов или несанкционированные действия. Версения 35.8.3, 38.5.4 и 39.3.1 устраняют проблему.
CVE-2026-25735Rucio - это программная структура, которая обеспечивает функциональность для организации, управления и доступа к большим объемам научных данных с использованием настраиваемых политик. Версий до 35.8.3, 38.5.4 и 39.3.1 имеют сохраненную уязвимость Cross-Site Scripting (XSS) в Идентификационном имени WebUI, где контролируемый злоумышленником вход сохраняется бэкэндом, а затем отображается в WebUI без надлежащей кодировки вывода. Это позволяет произвольное выполнение JavaScript в контексте WebUI для пользователей, которые просматривают затронутые страницы, потенциально позволяя кражу токенов сеансов или несанкционированные действия. Версения 35.8.3, 38.5.4 и 39.3.1 устраняют проблему.
CVE-2026-25734Rucio - это программная структура, которая обеспечивает функциональность для организации, управления и доступа к большим объемам научных данных с использованием настраиваемых политик. Версий до 35.8.3, 38.5.4 и 39.3.1 имеют сохраненную уязвимость кросс-сайта (XSS) в метаданных RSE WebUI, где контролируемый злоумышленником вход сохраняется бэкэндом, а затем отображается в WebUI без надлежащей кодировки вывода. Это позволяет произвольное выполнение JavaScript в контексте WebUI для пользователей, которые просматривают затронутые страницы, потенциально позволяя кражу токенов сеансов или несанкционированные действия. Версения 35.8.3, 38.5.4 и 39.3.1 устраняют проблему.
CVE-2025-59034Indico - это система управления мероприятиями, использующая Flask-Multipass, систему аутентификации с несколькими бэкэндами для Flask. В версиях до 3.3.8 существует уязвимость, позволяющая получить доступ к профилям других пользователей через устаревший API без прав администратора из-за неправильной проверки доступа. Рекомендация: Обновите Indico до версии 3.3.8 как можно скорее. В качестве обходного решения можно ограничить доступ к уязвимому API на уровне конфигурации веб-сервера. Источники: - [1] https://github.com/indico/indico/security/advisories/GHSA-4269-mcfh-cp7q - [2] https://github.com/indico/indico/releases/tag/v3.3.8
Открыть в каталоге с фильтром по вендору →