PT-2022-12304 · Cobbler+2 · Cobbler+2

Paolo Perego

+1

·

Publicado

2022-01-12

·

Atualizado

2025-05-16

·

CVE-2021-45083

CVSS v4.0

8.6

Alta

VetorAV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Versões do Cobbler anteriores à 3.3.1
Descrição
Foi descoberta uma falha em que os arquivos em /etc/cobbler são legíveis por todos, expondo informações confidenciais a usuários locais sem privilégios de acesso. O arquivo users.digest contém o resumo SHA-256 dos usuários, que pode ser usado para obter sequências de texto simples de senhas fáceis de adivinhar. O arquivo settings.yaml contém segredos, como a senha padrão com hash.
Recomendações
Para versões anteriores à 3.3.1, atualize para a versão 3.3.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao diretório /etc/cobbler para minimizar o risco de exploração.

Correção

Incorrect Default Permissions

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-276

Identificadores relacionados

CVE-2021-45083
GHSA-5946-MPW5-PQXX
OESA-2025-1467
OESA-2025-1468
OESA-2025-1469
OESA-2025-1527
OPENSUSE-SU-2022_0062-1
PYSEC-2022-38
SUSE-FU-2022:0750-1
SUSE-SU-2022:0507-1
SUSE-SU-2022:0509-1
SUSE-SU-2022:0510-1
SUSE-SU-2022:14891-1
SUSE-SU-2022_14891-1
USN-6475-1

Produtos afetados

Cobbler
Suse
Ubuntu