CVE-2025-9572

DEB

Средний

n authorization flaw in Foreman's GraphQL API allows low-privileged users to access metadata beyond their assigned permissions. Unlike the …

CVSS

6.5

Средний

EPSS

0.00

p26

Опубликовано

2025-01-01

Обновлено

2025-01-01

Описание

n authorization flaw in Foreman's GraphQL API allows low-privileged users to access metadata beyond their assigned permissions. Unlike the REST API, which correctly enforces access controls, the GraphQL endpoint does not apply proper filtering, leading to an authorization bypass.

Теги · CWE

CWE-863

Затронутые продукты

SatelliteSatellite_capsuleEnterprise_linux

Вектор CVSS

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Хронология

2025-01-01

Опубликована

2025-01-01

Обновлена

Разбор CVSS 3.1

Вектор атаки

AV: N

Сеть (N)

Сложность атаки

AC: L

Низкая (L)

Требуемые привилегии

PR: L

Низкие (L)

Взаимодействие с пользователем

UI: N

Отсутствует (N)

Область воздействия

S: U

Неизменная (U)

Воздействие на конфиденциальность

C: H

Высокое (H)

Воздействие на целостность

I: N

Отсутствует (N)

Воздействие на доступность

A: N

Отсутствует (N)

Индикаторы эксплуатации

EPSS

0.003 · p26

Известна эксплуатация (KEV)

Нет

Проверки Сканер-ВС

Проверок Сканер-ВС для этой уязвимости в базе пока нет.

Затронутые продукты

Enterprise Linux Satellite Satellite Capsule

Theforeman

Foreman

Продукт	Вендор	Статус
foreman		Отслеживается
ruby-foreman		Отслеживается
enterprise_linux	*	Отслеживается
foreman	*	Отслеживается
satellite	*	Отслеживается
satellite_capsule	*	Отслеживается

Источники данных

DEB

CVE

UBU

Внешние ссылки

https://access.redhat.com/errata/RHSA-2025:21886@https://access.redhat.com/errata/RHSA-2025:21893@https://access.redhat.com/errata/RHSA-2025:21894@https://access.redhat.com/errata/RHSA-2025:21897@https://access.redhat.com/security/cve/CVE-2025-9572@https://bugzilla.redhat.com/show_bug.cgi?id=2391715@https://theforeman.org/security.html#2025-9572 https://www.cve.org/CVERecord?id=CVE-2025-9572