PT-2022-13479 · Cobbler+2 · Cobbler+2

Publicado

2022-03-11

·

Atualizado

2024-06-15

·

CVE-2022-0860

CVSS v3.1

8.2

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
Nome do software vulnerável e versões afetadas
cobbler/cobbler versões anteriores à 3.3.2
Descrição
O problema diz respeito a uma autorização incorreta no repositório GitHub cobbler/cobbler. Se o PAM estiver configurado corretamente e uma conta de usuário estiver marcada como expirada, a conta de usuário expirada ainda poderá fazer login com sucesso no Cobbler em todos os canais, incluindo a interface web, a CLI e a API XMLRPC. Isso também se aplica a contas de usuário com senhas marcadas como expiradas.
Recomendações
Para versões anteriores à 3.3.2, atualize para a versão 3.3.2 ou posterior para resolver o problema.
Como solução temporária, considere excluir contas expiradas que consigam acessar o Cobbler via PAM.
Use chage -l <username> para bloquear a conta. Se a conta tiver chaves SSH associadas, remova-as completamente.

Exploit

Correção

Incorrect Authorization

Improper Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-863CWE-285

Identificadores relacionados

CVE-2022-0860
GHSA-MCG6-H362-CMQ5
OPENSUSE-SU-2023_1831-1
OPENSUSE-SU-2024:11904-1
PYSEC-2022-177
SUSE-SU-2022:3750-1
SUSE-SU-2022:3761-1
SUSE-SU-2023:0592-1
USN-6475-1

Produtos afetados

Suse
Ubuntu
Cobbler