2020-1735: CloudForms Management Engine: Mehrere Schwachstellen ermöglichen u. a. das Erlangen von Administratorrechten
Historie:
- Version 1 (2020-08-07 18:07)
- Neues Advisory
- Version 2 (2020-08-28 12:47)
- Red Hat stellt für CloudForms 4.7.16 Sicherheitsupdates für CloudForms Management Engine 5.10 bereit, um die betreffenden Schwachstellen zu beheben.
Betroffene Software
Netzwerk
Virtualisierung
Betroffene Plattformen
Cloud
Linux
Beschreibung:
Ein entfernter Angreifer kann Privilegien bis hin zu Administratorrechten eskalieren. Ein erfolgreicher Angriff kann Einfluss auf andere Komponenten betroffener Systeme haben. Zudem kann ein entfernter Angreifer mit üblichen oder erweiterten Benutzerrechten Cross-Site Scripting (XSS)- und Server-Side-Request-Forgery (SSRF)-Angriffe durchführen, Informationen ausspähen, Dateien manipulieren sowie beliebigen Programmcode mit Benutzerrechten und beliebige Kommandos auf Betriebssystemebene ausführen. Einige der Angriffe erfordern die Interaktion eines Benutzers und können ebenfalls Einfluss auf andere Komponenten betroffener Systeme haben.
Red Hat stellt für CloudForms 5.0.7 Sicherheitsupdates für CloudForms Management Engine 5.11 bereit, um die Schwachstellen zu beheben.
Schwachstellen:
CVE-2020-10777
Schwachstelle in CloudForms Management Engine ermöglicht Cross-Site-Scripting-AngriffCVE-2020-10778
Schwachstelle in CloudForms Management Engine ermöglicht Manipulation von DateienCVE-2020-10779
Schwachstelle in CloudForms Management Engine ermöglicht Ausspähen von InformationenCVE-2020-10780
Schwachstelle in CloudForms Management Engine ermöglicht Ausführen beliebigen Programmcodes mit BenutzerrechtenCVE-2020-10783
Schwachstelle in CloudForms Management Engine ermöglicht PrivilegieneskalationCVE-2020-14296
Schwachstelle in CloudForms Management Engine ermöglicht Server-Side-Request-Forgery-AngriffCVE-2020-14324
Schwachstelle in CloudForms Management Engine ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-14325
Schwachstelle in CloudForms Management Engine ermöglicht Erlangen von Administratorrechten
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.