CVE-2024-7143

Pulp (versões afetadas não especificadas)

Foi encontrada uma falha no pacote Pulp relacionada a objetos de controle de acesso baseado em funções (RBAC). Quando um objeto RBAC é configurado para atribuir permissões no momento de sua criação, ele utiliza o AutoAddObjPermsMixin, normalmente o método add roles for object creator. Esse método identifica o criador do objeto verificando o usuário autenticado no momento. Para objetos criados dentro de uma tarefa, o usuário atual é definido como o primeiro usuário com qualquer permissão sobre o objeto da tarefa. Isso faz com que o usuário mais antigo com permissões de tarefa no nível do modelo/domínio seja definido como o usuário atual de uma tarefa, mesmo que ele não tenha despachado a tarefa. Consequentemente, todos os objetos criados nas tarefas terão suas permissões atribuídas a esse usuário mais antigo, e o usuário criador não receberá nada.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.