漏洞标题
N/A
漏洞描述信息
在 Chef Server 0.9.18 之前和 0.10.x 之前的版本中,Chef 服务器的 api/app/controllers/cookbooks.rb 文件不需要管理员权限来更新和删除方法,这允许远程登录的用户通过 (1)使用 knife cookbook upload 命令上传 cookbook 或者 (2)使用 knife cookbook delete 命令删除 cookbook。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
chef-server-api/app/controllers/cookbooks.rb in Chef Server in Chef before 0.9.18, and 0.10.x before 0.10.2, does not require administrative privileges for the update and destroy methods, which allows remote authenticated users to (1) upload cookbooks via a knife cookbook upload command or (2) delete cookbooks via a knife cookbook delete command.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Opscode Chef 权限许可和访问控制漏洞
漏洞描述信息
Chef是由Ruby写成的形态管理软件,它以一种纯Ruby的领域专用语言(DSL)保存系统配置“食谱(recipes)”或“做饭书(cookbooks)”。Chef由Opscode开发,并在Apache协议版本2.0下开源发布。 Chef 0.9.18之前版本、0.10.2之前的0.10.x版本中的Chef Server内的chef-server-api/app/controllers/cookbooks.rb中存在漏洞,该漏洞源于更新和删除方法不需要管理权限。远程认证用户可利用该漏洞(1)借助刀菜谱上传
CVSS信息
N/A
漏洞类别
授权问题