Puppet和Puppet Enterprise 安全漏洞 CVE-2012-1988 CNNVD-201204-215

6.0 AV AC AU C I A
发布: 2012-05-29
修订: 2024-02-02

Puppet 2.6.15之前的2.6.x版本与2.7.13之前的2.7.x版本,Puppet Enterprise (PE) Users 1.0版本、1.1版本、1.2.x版本、2.0.x版本和2.5.1之前的2.5.x版本中存在未明漏洞。代理SSL密钥与puppet master的文件创建权限的远程认证用户可通过创建包含shell元字符的全路径名文件,然后执行filebucket请求,导致任意命令执行。Puppet 2.7.13之前的2.7.x版本与Puppet Enterprise (PE) 1.2.x版本、2.0.x版本与2.5.1之前的2.5.x版本的telnet.rb,允许本地用户通过NET::Telnet连接日志(/tmp/out.log)的符号链接攻击重写任意文件。

0%

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有51条受影响产品信息