PT-2020-3571 · Red Hat · Red Hat Cloudforms+1
Purnachand Pulahari
+1
·
Publicado
2020-08-03
·
Atualizado
2020-08-12
·
CVE-2020-14296
CVSS v2.0
8.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:P/A:P |
Nome do software vulnerável e versões afetadas
Red Hat CloudForms, versões 4.7 a 5
Descrição
O problema está relacionado a uma falha de falsificação de solicitação do lado do servidor (SSRF). Ela permite que um invasor, com acesso para adicionar um provedor do Ansible Tower, examine e ataque sistemas da rede interna que normalmente não são acessíveis. A vulnerabilidade se deve à validação insuficiente das solicitações recebidas, o que pode ser explorado por um invasor remoto para examinar a rede interna.
Recomendações
Para as versões 4.7 a 5 do Red Hat CloudForms, considere restringir o acesso ao provedor Ansible Tower até que um patch esteja disponível.
Como solução alternativa temporária, considere desativar a funcionalidade que permite adicionar provedores Ansible Tower para minimizar o risco de exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ansible Tower
Red Hat Cloudforms