PT-2021-7962 · Sssd+10 · Sssd+10
Cedric Buissart
·
Publicado
2021-06-23
·
Atualizado
2025-02-09
·
CVE-2021-3621
CVSS v2.0
10
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
SSSD (versões afetadas não especificadas)
Descrição
O problema está relacionado ao comando sssctl no serviço SSSD, que carece de medidas de sanitização de entrada. Isso permite que um invasor remoto explore a vulnerabilidade, potencialmente obtendo acesso a dados confidenciais, comprometendo a integridade dos dados e causando uma negação de serviço. A falha é encontrada especificamente nos subcomandos logs-fetch e cache-expire, que são vulneráveis à injeção de comandos shell. Isso poderia induzir o usuário root a executar um comando sssctl especialmente criado, como por meio do sudo, para obter acesso root. A maior ameaça decorrente desse problema é à confidencialidade, integridade e disponibilidade do sistema.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Command Injection
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Red Hat
Red Os
Rocky Linux
Sssd
Suse
Ubuntu