【漏洞报送】SaltStack RCE等高危漏洞报送
漏 洞 报 送
近日,SaltStack官方发布安全通告修复了以下3个高危漏洞:
CVE-2020-16846:未经身份验证的攻击者通过构造恶意请求,利用Shell注入(shell injection)获取SSH连接,从而在Salt-API上执行任意命令。
CVE-2020-17490:本地攻击者用低权限用户登录 salt 主机,可以从当前 salt 程序主机上读取到密钥内容,导致信息泄漏。
CVE-2020-25592:Salt中的eauth和ACL功能存在认证绕过漏洞,攻击者可以通过salt-api绕过身份验证,从而利用salt ssh连接目标主机。
SaltStack = 2015
SaltStack = 2016
SaltStack = 2017
SaltStack = 2018
SaltStack = 2019
SaltStack = 3000
SaltStack = 3001
SaltStack = 3002
end