anonhaven

CVE-2025-9572

MEDIUM CVSS 3.1: 6,5 EPSS 0.02%
Обновлено 17 марта 2026
Theforeman
Параметр Значение
CVSS 6,5 (MEDIUM)
Уязвимые версии 1.22.0 — 3.16.2
Устранено в версии 3.16.2
Тип уязвимости CWE-200 (Раскрытие информации), CWE-863 (Неправильная авторизация)
Поставщик Theforeman
Публичный эксплойт Нет

Ошибка авторизации в GraphQL API Foreman позволяет пользователям с низким уровнем привилегий получать доступ к метаданным за пределами назначенных им разрешений. В отличие от REST API, который правильно обеспечивает контроль доступа, конечная точка GraphQL не применяет надлежащую фильтрацию, что приводит к обходу авторизации.

Показать оригинальное описание (EN)

n authorization flaw in Foreman's GraphQL API allows low-privileged users to access metadata beyond their assigned permissions. Unlike the REST API, which correctly enforces access controls, the GraphQL endpoint does not apply proper filtering, leading to an authorization bypass.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-200 Information Exposure (Раскрытие информации)
CWE-863 Incorrect Authorization (Неправильная авторизация)

Уязвимые продукты 10

Конфигурация От (включительно) До (исключительно)
Theforeman Foreman
cpe:2.3:a:theforeman:foreman:*:*:*:*:*:*:*:*
 1.22.0 3.16.2
Redhat Satellite
cpe:2.3:a:redhat:satellite:6.15:*:*:*:*:*:*:*
Redhat Satellite
cpe:2.3:a:redhat:satellite:6.16:*:*:*:*:*:*:*
Redhat Satellite
cpe:2.3:a:redhat:satellite:6.17:*:*:*:*:*:*:*
Redhat Satellite
cpe:2.3:a:redhat:satellite:6.18:*:*:*:*:*:*:*
Redhat Satellite_Capsule
cpe:2.3:a:redhat:satellite_capsule:6.15:*:*:*:*:*:*:*
Redhat Satellite_Capsule
cpe:2.3:a:redhat:satellite_capsule:6.16:*:*:*:*:*:*:*
Redhat Satellite_Capsule
cpe:2.3:a:redhat:satellite_capsule:6.17:*:*:*:*:*:*:*
Redhat Satellite_Capsule
cpe:2.3:a:redhat:satellite_capsule:6.18:*:*:*:*:*:*:*
Redhat Enterprise_Linux
cpe:2.3:o:redhat:enterprise_linux:9.0:*:*:*:*:*:*:*

Ссылки 7

https://access.redhat.com/errata/RHSA-2025:21886
secalert@redhat.com
https://access.redhat.com/errata/RHSA-2025:21893
secalert@redhat.com
https://access.redhat.com/errata/RHSA-2025:21894
secalert@redhat.com
https://access.redhat.com/errata/RHSA-2025:21897
secalert@redhat.com
https://access.redhat.com/security/cve/CVE-2025-9572
secalert@redhat.com
https://bugzilla.redhat.com/show_bug.cgi?id=2391715
secalert@redhat.com
https://theforeman.org/security.html#2025-9572
secalert@redhat.com
Share Post Share Share Share