PT-2021-22859 · Cobbler+2 · Cobbler+2

Schoolguy

·

Publicado

2021-09-20

·

Atualizado

2025-05-16

·

CVE-2021-40323

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do Cobbler anteriores à 3.3.0
Descrição
A vulnerabilidade permite o envenenamento de logs e a consequente execução remota de código por meio de um método XMLRPC que grava no arquivo de log para injeção de modelo.
Recomendações
Para versões anteriores à 3.3.0, atualize para a versão 3.3.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao método XMLRPC para minimizar o risco de exploração.

Correção

RCE

Code Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-94

Identificadores relacionados

CVE-2021-40323
GHSA-CPQF-3C3R-C9G2
OESA-2025-1467
OESA-2025-1468
OESA-2025-1469
OESA-2025-1527
OPENSUSE-SU-2022_0062-1
PYSEC-2021-373
SUSE-RU-2021:3162-1
SUSE-SU-2021:3151-1
SUSE-SU-2021:3170-1
USN-6475-1

Produtos afetados

Cobbler
Suse
Ubuntu