Ajenti — это модульная панель администрирования сервера Linux и BSD. До версии 2.2.15 аутентифицированный пользователь (с использованием метода аутентификации плагина auth_users) мог установить собственный пакет, даже если этот пользователь не является суперпользователем. Эта уязвимость исправлена в версии 2.2.15.
Показать оригинальное описание (EN)
Ajenti is a Linux and BSD modular server admin panel. Prior to 2.2.15, an authenticated user (using the auth_users plugin authentication method) could install a custom package even if this user is not superuser. This vulnerability is fixed in 2.2.15.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Низкое
Частичное нарушение работы
Строка CVSS v4.0