漏洞标题
N/A
漏洞描述信息
在 Chef Server 0.9.20 之前和 0.10.x 之前版本中,在创建管理员客户端时,不需要管理员权限。这允许远程登录的用户通过利用验证键的读取权限绕过预期访问限制,并执行一个名为“ knife 客户端创建”的命令,带有 --admin 选项。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
chef-server-api/app/controllers/clients.rb in Chef Server in Chef before 0.9.20, and 0.10.x before 0.10.6, does not require administrative privileges for creating admin clients, which allows remote authenticated users to bypass intended access restrictions by leveraging read permission for the validation key and executing a knife client create command with the --admin option.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Opscode Chef 权限许可和访问控制漏洞
漏洞描述信息
Chef是由Ruby写成的形态管理软件,它以一种纯Ruby的领域专用语言(DSL)保存系统配置“食谱(recipes)”或“做饭书(cookbooks)”。Chef由Opscode开发,并在Apache协议版本2.0下开源发布。 Chef 0.9.20之前版本和0.10.6之前的0.10.x版本中的Chef Server内的chef-server-api/app/controllers/clients.rb中存在漏洞,该漏洞源于创建管理用户不需要管理特权。远程认证用户可利用验证密钥读取权限绕过目地访问限制
CVSS信息
N/A
漏洞类别
授权问题