SaltStack Salt Shell/命令注入漏洞(CVE-2021-3148)

SaltStack Salt是一种全新的基础设施管理方式,部署轻松,在几分钟内可运行起来,扩展性好,很容易管理上万台服务器,速度够快,服务器之间秒级通讯。

编号 CVE-2021-3148 / CVE-2021-3197 日期 2021-03-08
特征 命令注入漏洞 等级 高危
描述 SaltStack Salt 3002.5之前版本存在命令注入漏洞和shell注入漏洞:
命令注入漏洞
该漏洞源于对单引号和双引号的处理不同,攻击者可通过将特制Web请求发送到Salt API利用该漏洞进行salt.utils.thin.gen_thin()命令注入攻击。
Shell注入漏洞
之前版本的salt-api的ssh客户端存在shell注入漏洞,攻击者可通过在参数中包含ProxyCommand或通过API请求中提供的ssh_options利用该漏洞进行shell注入攻击。
影响 SaltStack SaltStack Salt <3002.5

解决方案

目前厂商已发布升级补丁以修复漏洞,点击此处访问补丁链接

原创文章禁止转载:技术学堂 » SaltStack Salt Shell/命令注入漏洞(CVE-2021-3148)

赞 (0) 打赏

精彩评论

1+9=

感谢您的支持与鼓励

支付宝扫一扫打赏

微信扫一扫打赏