技术学堂
SaltStack Salt是一种全新的基础设施管理方式,部署轻松,在几分钟内可运行起来,扩展性好,很容易管理上万台服务器,速度够快,服务器之间秒级通讯。
| 编号 | CVE-2021-3148 / CVE-2021-3197 | 日期 | 2021-03-08 |
| 特征 | 命令注入漏洞 | 等级 | 高危 |
| 描述 | SaltStack Salt 3002.5之前版本存在命令注入漏洞和shell注入漏洞: 命令注入漏洞 该漏洞源于对单引号和双引号的处理不同,攻击者可通过将特制Web请求发送到Salt API利用该漏洞进行salt.utils.thin.gen_thin()命令注入攻击。 Shell注入漏洞 之前版本的salt-api的ssh客户端存在shell注入漏洞,攻击者可通过在参数中包含ProxyCommand或通过API请求中提供的ssh_options利用该漏洞进行shell注入攻击。 |
||
| 影响 | SaltStack SaltStack Salt <3002.5 | ||
解决方案
目前厂商已发布升级补丁以修复漏洞,点击此处访问补丁链接。
原创文章禁止转载:技术学堂 » SaltStack Salt Shell/命令注入漏洞(CVE-2021-3148)
OpenSSL远程代码执行漏洞(CVE-2022-1292)
Fortinet FortiWeb操作系统命令注入漏洞(CVE-2021-41018)
Linux操作系统基线设置自动化脚本(Shell版)
Linux kernel权限提升漏洞(CVE-2021-3493)
Linux kernel拒绝服务漏洞(CVE-2021-29648)
SaltStack未授权访问等多个高危漏洞(CVE-2021-3197)
Linux远程登录SSH配置sshd_config详解
Windows TCP/IP拒绝服务漏洞(CVE-2021-24086)
