У Формана был обнаружен недостаток. Удаленный злоумышленник может воспользоваться уязвимостью внедрения команд в реализации прокси-сервера WebSocket компании Foreman. Эта уязвимость возникает из-за того, что система использует несанкционированные значения имен хостов от поставщиков вычислительных ресурсов при создании команд оболочки.
Используя вредоносный сервер вычислительных ресурсов, злоумышленник может добиться удаленного выполнения кода на сервере Foreman, когда пользователь обращается к функциям консоли VM VNC. Это может привести к компрометации конфиденциальных учетных данных и всей управляемой инфраструктуры.
Показать оригинальное описание (EN)
A flaw was found in Foreman. A remote attacker could exploit a command injection vulnerability in Foreman's WebSocket proxy implementation. This vulnerability arises from the system's use of unsanitized hostname values from compute resource providers when constructing shell commands. By operating a malicious compute resource server, an attacker could achieve remote code execution on the Foreman server when a user accesses VM VNC console functionality. This could lead to the compromise of sensitive credentials and the entire managed infrastructure.
Характеристики атаки
Последствия
Строка CVSS v3.1