PT-2020-2668 · Openstack · Openstack Manila

Tobias Rydberg

·

Publicado

2020-03-10

·

Atualizado

2022-05-24

·

CVE-2020-9543

CVSS v2.0

9.7

Alta

VetorAV:N/AC:L/Au:N/C:C/I:C/A:P
Nome do software vulnerável e versões afetadas
Versões do OpenStack Manila anteriores à 7.4.1
Versões do OpenStack Manila de 8.0.0 a 8.1.0
Versões do OpenStack Manila de 9.0.0 a 9.1.0
Descrição
A vulnerabilidade permite que invasores visualizem, atualizem, excluam ou compartilhem recursos que não lhes pertencem devido a uma pesquisa sem contexto de um UUID. Isso também pode permitir a criação de recursos, como sistemas de arquivos compartilhados e grupos de compartilhamentos nessas redes de compartilhamento. A vulnerabilidade está relacionada a erros no uso de permissões padrão, o que pode permitir que um invasor remoto obtenha acesso não autorizado a arquivos compartilhados se o valor do UUID for conhecido.
Recomendações
Para versões anteriores à 7.4.1, atualize para a versão 7.4.1 ou posterior.
Para as versões 8.0.0 a 8.1.0, atualize para a versão 8.1.1 ou posterior.
Para as versões 9.0.0 a 9.1.0, atualize para a versão 9.1.1 ou posterior.

Exploit

Correção

Improper Access Control

Incorrect Default Permissions

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-284CWE-276

Identificadores relacionados

BDU:2020-02718
CVE-2020-9543
GHSA-JX7V-GMQC-6XRJ
PYSEC-2020-63
RHSA-2020:1326
RHSA-2020:2165
RHSA-2020:2729
SUSE-SU-2020:0659-1
SUSE-SU-2020:0660-1
SUSE-SU-2020:1066-1
SUSE-SU-2020:1190-1

Produtos afetados

Openstack Manila