V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2025-66029
CVE
Высокий

Open OnDemand обеспечивает удаленный доступ в Интернет для суперкомпьютеров. В версиях 4.0.8 и предшествующем прокси Apache пропуск позволя…

CVSS
7.6
Высокий
EPSS
0.00
p6
Опубликовано
2025-01-01
Обновлено
2025-01-01
Описание

Open OnDemand обеспечивает удаленный доступ в Интернет для суперкомпьютеров. В версиях 4.0.8 и предшествующем прокси Apache пропуск позволяет передавать чувствительные заголовки на серверы происхождения. Это означает, что злоумышленники могут создавать сервер происхождения на вычислительном узле, который записывает эти заголовки, когда ничего не подозревающие пользователи подключаются к нему. Хранители ожидают патч в выпуске 4.1. Обходные пути существуют для версий 4.0.x. Использование `custom_location_directives` в `ood_portal.yml` в версии 4.0.x (недоступно для версий ниже 4.0) центры могут отстраивать и или редактировать эти заголовки. Обратите внимание, что «OIDCPassClaimsКак оба» по умолчанию и центры могут устанавливать «OIDCPassClaimsAs `inone` или «Окружающая среда» для того, чтобы передавать эти заголовки «OIDCPassClaimsAs» `none` или «Окружающая среда», чтобы прекратить передачу этих заголовков клиенту. Центры, в которых есть провайдер OIDC с `OIDCPassClaimsAs` с `none` или `enorinment``' с настройками "О'Норемента" или "Окружающая среда", могут настроить настройки cookie-файлов " mod_auth_openidc_session".

Теги · CWE
CWE-522
CAPEC-50
CAPEC-102
CAPEC-474
CAPEC-509
CAPEC-551
CAPEC-555
CAPEC-560
CAPEC-561
CAPEC-600
CAPEC-644
CAPEC-645
CAPEC-652
CAPEC-653
Затронутые продукты
Open_ondemand ≤ 4.0.8
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:N
Хронология
2025-01-01
Опубликована
2025-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: L
Низкие (L)
Взаимодействие с пользователем
UI: R
Требуется (R)
Область воздействия
S: C
Изменена (C)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: L
Низкое (L)
Воздействие на доступность
A: N
Отсутствует (N)
Индикаторы эксплуатации
EPSS
0.002 · p6
Известна эксплуатация (KEV)
Нет
MITRE ATT&CK
Выводимые через CAPEC
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
Отслеживается
open_ondemand*Отслеживается
Источники данных
ANC
CVE