漏洞标题
N/A
漏洞描述信息
在 Chef 0.9.0 之前,在 API 中的 chef-server-api/app/controllers/users.rb 方法创建、删除和更新用户账户时不需要管理员权限,这允许远程登录的用户可以 通过向 /users URI 发送请求来管理用户账户。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
chef-server-api/app/controllers/users.rb in the API in Chef before 0.9.0 does not require administrative privileges for the create, destroy, and update methods, which allows remote authenticated users to manage user accounts via requests to the /users URI.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Opscode Chef 权限许可和访问控制漏洞
漏洞描述信息
Chef是由Ruby写成的形态管理软件,它以一种纯Ruby的领域专用语言(DSL)保存系统配置“食谱(recipes)”或“做饭书(cookbooks)”。Chef由Opscode开发,并在Apache协议版本2.0下开源发布。 Chef 0.9.0之前版本中的API中的chef-server-api/app/controllers/users.rb中存在漏洞,该漏洞源于创建、删除和更新方法不需要管理权限。远程认证用户可利用该漏洞通过/users URI的请求管理用户账户。
CVSS信息
N/A
漏洞类别
授权问题