漏洞标题
N/A
漏洞描述信息
在cf-release 245之前的应用可以使用用户提供的自定义构建包进行配置和推送,通过指向构建包的URL。尽管这不推荐,但用户可以在URL中指定 credential(基本认证或 OAuth),以便通过CLI访问构建包。例如,用户可以在URL中包含GitHub用户名和密码,以访问私有仓库。由于访问构建包的URL未加密存储,具有 privileged access to Cloud Controller数据库的操作员可能查看这些 credential。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Applications in cf-release before 245 can be configured and pushed with a user-provided custom buildpack using a URL pointing to the buildpack. Although it is not recommended, a user can specify a credential in the URL (basic auth or OAuth) to access the buildpack through the CLI. For example, the user could include a GitHub username and password in the URL to access a private repo. Because the URL to access the buildpack is stored unencrypted, an operator with privileged access to the Cloud Controller database could view these credentials.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Pivotal cf-release 安全漏洞
漏洞描述信息
Pivotal cf-release是美国Pivotal Software公司的一套开源的平台即服务(PaaS)云计算平台,它提供容器调度、持续交付和自动化服务部署等功能。cf-release是CF的一个发布版本。 Pivotal cf-release 245之前的版本中的应用程序存在安全漏洞。攻击者可利用该漏洞访问buildpack。
CVSS信息
N/A
漏洞类别
信息泄露