漏洞标题
N/A
漏洞描述信息
在 celerybeat、celeryd_detach、celeryd-multi 和 celeryev 等参数处理过程中,2.1 和 2.2 版本在 2.2.8 之前,2.3 版本在 2.3.4 之前,以及 2.4 版本在 2.4.4 之前会修改 EffectiveId,而不是真实Id。这允许本地用户通过涉及 worker 进程执行的 crafted 代码的向量来获得权限。
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Celery 2.1 and 2.2 before 2.2.8, 2.3 before 2.3.4, and 2.4 before 2.4.4 changes the effective id but not the real id during processing of the --uid and --gid arguments to celerybeat, celeryd_detach, celeryd-multi, and celeryev, which allows local users to gain privileges via vectors involving crafted code that is executed by the worker process.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Celery权限许可和访问控制漏洞
漏洞描述信息
Celery 2.1版本和2.2.8之前的2.2版本,2.3.4之前的2.3版本以及2.4.4 之前的2.4版本中存在漏洞。该漏洞源于在处理--uid和--gid参数时将有效但非真正的id转换成celerybeat, celeryd_detach, celeryd-multi和celeryev,本地用户可以借助特制代码的向量提升权限。
CVSS信息
N/A
漏洞类别
授权问题