PT-2026-29482 · Canonical · Juju
Harry Pidcock
+3
·
Publicado
2026-04-01
·
Atualizado
2026-04-04
·
CVE-2026-4370
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Juju versões 3.2.0 até 3.6.19 e versões 4.0.0 até 4.0.4
Descrição
Uma falha foi identificada no software Juju onde o cluster de banco de dados interno Dqlite não realiza a autenticação TLS de cliente e servidor de forma adequada. Especificamente, o endpoint de banco de dados do controlador Juju não valida certificados de cliente quando um novo nó tenta se juntar ao cluster. Um atacante com acesso à rede à porta Dqlite do controlador Juju pode se juntar ao cluster de banco de dados e obter acesso total de leitura e gravação ao banco de dados, potencialmente levando à total compromissão dos dados.
Recomendações
Atualize o Juju para uma versão posterior a 4.0.4. Atualize o Juju para uma versão posterior a 3.6.19.
Correção
Improper Certificate Validation
Missing Authentication
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Juju