CVE-2022-35508

Proxmox Virtual Environment (PVE) e Proxmox Mail Gateway (PMG) em versões anteriores ao pve-http-server 4.1-3

A vulnerabilidade afeta o Proxmox Virtual Environment (PVE) e o Proxmox Mail Gateway (PMG) ao fazer proxy de solicitações HTTP entre o pve(pmg)proxy e o pve(pmg)daemon, permitindo que um invasor com uma conta sem privilégios crie uma solicitação HTTP e realize uma falsificação de solicitação do lado do servidor (SSRF) e a divulgação de quaisquer arquivos no servidor. Além disso, no Proxmox Mail Gateway, é possível a escalada de privilégios para a conta root@pam se o recurso de backup tiver sido utilizado, devido aos arquivos de backup possuírem permissões 0644 e conterem um valor de chave de autenticação (authkey).

Para as versões do Proxmox Virtual Environment (PVE) e do Proxmox Mail Gateway (PMG) anteriores ao pve-http-server 4.1-3, atualize para o pve-http-server 4.1-3 para corrigir o problema. Como solução alternativa temporária, considere restringir o acesso aos arquivos de backup e aos componentes pve(pmg)proxy e pve(pmg)daemon para minimizar o risco de exploração. Evite usar o recurso de backup até que o problema seja resolvido.