nvd
Netmaker
Уязвимости
8
Эксплуатируемые
0
Критический
1
Высокий
7
Топ продуктов
Топ уязвимостей
CVE-2022-0664Использование жестко закодированного криптографического ключа в Go github.com/gravitl/netmaker до версий 0.8.5, 0.9.4, 0.10.0, 0.10.1.
CVE-2023-32079Netmaker создает сети с помощью WireGuard. Уязвимость массового присваивания была обнаружена в версиях до 0.17.1 и 0.18.6, которая позволяет пользователю без прав администратора повысить свои привилегии до прав администратора. Проблема исправлена в 0.17.1 и устранена в 0.18.6. Если пользователи используют 0.17.1, они должны запустить `docker pull gravitl/netmaker:v0.17.1` и `docker-compose up -d`. Это переключит их на исправленных пользователей. Если пользователи используют v0.18.0-0.18.5, они должны обновиться до v0.18.6 или более поздней версии. В качестве обходного решения, кто-то, использующий версию 0.17.1, может скачать последний образ docker бэкэнда и перезапустить сервер.
CVE-2022-36110Netmaker создает сети с помощью WireGuard. До версии 0.15.1 ненадлежащие функции авторизации приводят к тому, что непривилегированные пользователи запускают привилегированные вызовы API. Если кто-то добавляет пользователей на платформу Netmaker, у которых нет прав администратора, они могут использовать свои токены аутентификации для запуска функций уровня администратора через API. Эта проблема была исправлена в версии v0.15.1.
CVE-2022-23650Netmaker — это платформа для создания виртуальных оверлейных сетей и управления ими с помощью WireGuard. До версий 0.8.5, 0.9.4 и 010.0 в кодовой базе есть жестко запрограммированный криптографический ключ, который можно использовать для выполнения команд администратора на удаленном сервере, если злоумышленнику известны адрес и имя пользователя администратора. Это влияет на компонент сервера (netmaker), а не на клиенты. Это было исправлено в Netmaker v0.8.5, v0.9.4 и v0.10.0. В настоящее время нет известных обходных путей решения этой проблемы.
CVE-2026-29771Netmaker создает сети с WireGuard. До версии 1.2.0 конечные точки /api/server/sutdown позволяют прекратить процесс сервера Netmaker с помощью syscall.SIGINT. Это позволяет любому пользователю многократно отключать сервер, вызывая циклический отказ в обслуживании с интервалами перезапуска примерно 3 секунд. Этот вопрос был исправлен в версии 1.2.0.
CVE-2026-38651Уязвимость Authentication Bypass существует в версиях Netmaker до 1.5.0. Функция VerifyHostToken в logic/jwts.go не в состоянии проверить подпись JWT при проверке токенов хоста. Злоумышленник может подделывать JWT, подписанный любым произвольным ключом, и использовать его для выдачи себя за любой хост в сети, получагона доступа к конфиденциальной информации.
CVE-2023-32078Netmaker создает сети с помощью WireGuard. Уязвимость Insecure Direct Object Reference (IDOR) была обнаружена в версиях до 0.17.1 и 0.18.6 в функции обновления пользователя. Указав имя пользователя другого пользователя, можно было обновить пароль другого пользователя. Проблема исправлена в 0.17.1 и устранена в 0.18.6. Если пользователи используют 0.17.1, они должны запустить `docker pull gravitl/netmaker:v0.17.1` и `docker-compose up -d`. Это переключит их на исправленных пользователей. Если пользователи используют v0.18.0-0.18.5, они должны обновиться до v0.18.6 или более поздней версии. В качестве обходного решения, кто-то, использующий версию 0.17.1, может скачать последний образ docker бэкэнда и перезапустить сервер.
CVE-2023-32077Netmaker создает сети с помощью WireGuard. До версий 0.17.1 и 0.18.6 в Netmaker было обнаружено использование жестко закодированного DNS-ключа, позволяющее неавторизованным пользователям взаимодействовать с конечными точками DNS API. Проблема исправлена в 0.17.1 и устранена в 0.18.6. Если пользователи используют 0.17.1, они должны запустить `docker pull gravitl/netmaker:v0.17.1` и `docker-compose up -d`. Это переключит их на исправленных пользователей. Если пользователи используют v0.18.0-0.18.5, они должны обновиться до v0.18.6 или более поздней версии. В качестве обходного решения, кто-то, использующий версию 0.17.1, может скачать последний образ docker бэкэнда и перезапустить сервер.