В бэкэнде Spacewalk была обнаружена ошибка. Эта уязвимость раскрытия информации возникает в случае сбоя вызова XML-RPC для регистрации системы, в результате чего пароли пользователей в открытом виде включаются в сообщения об ошибках. Удаленные администраторы могут воспользоваться этим, читая журналы сервера и электронную почту, что приводит к несанкционированному раскрытию паролей пользователей.
Показать оригинальное описание (EN)
A flaw was found in Spacewalk-backend. This information disclosure vulnerability occurs when a system registration XML-RPC call fails, causing cleartext user passwords to be included in error messages. Remote administrators can exploit this by reading server logs and emails, leading to the unauthorized disclosure of user passwords.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Высокие
Нужны права администратора
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Redhat Network_Proxy
cpe:2.3:a:redhat:network_proxy:5.4:*:*:*:*:*:*:*
|
— | — |
|
Redhat Satellite
cpe:2.3:a:redhat:satellite:5.4:*:*:*:*:*:*:*
|
— | — |