PT-2020-3567 · Red Hat · Red Hat Cloudforms
Publicado
2020-08-03
·
Atualizado
2021-07-21
·
CVE-2020-10783
CVSS v3.1
8.3
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L |
Nome do software vulnerável e versões afetadas
Versões 4.7 a 5 do Red Hat CloudForms
Descrição
O problema está relacionado a um controle de acesso insuficiente no CloudForms Management Engine, que é uma plataforma para gerenciamento de ambientes virtuais. Essa falha pode ser explorada por um invasor remoto para escalar seus privilégios. Especificamente, um invasor com o grupo EVM-Operator pode realizar ações restritas ao grupo EVM-Super-administrator, como exportar ou importar arquivos de administrador.
Recomendações
Para as versões 4.7 a 5 do Red Hat CloudForms, considere restringir o acesso a ações confidenciais até que um patch esteja disponível. Como solução alternativa temporária, limite os privilégios do grupo EVM-Operator para impedir ações não autorizadas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Improper Authorization
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Red Hat Cloudforms