fit2cloud / koko, fit2cloud / jumpserver sérülékenysége
Angol cím: fit2cloud / koko, fit2cloud / jumpserver vulnerability
Publikálás dátuma: 2023.03.16.
Utolsó módosítás dátuma: 2023.03.23.
Leírás
Parancs injektálás: A program a parancs egészét vagy annak egy részét a bemenetről építi fel, de nem semlegesíti vagy nem megfelelően szűri azokat a speciális elemeket amelyek módosíthatják a tervezett parancsot, amikor az a következő komponensnek kerül átküldésre.
Leírás forrása: CWE-77Elemzés leírás
Eredeti nyelven: Jumpserver is a popular open source bastion host, and Koko is a Jumpserver component that is the Go version of coco, refactoring coco’s SSH/SFTP service and Web Terminal service. Prior to version 2.28.8, using illegal tokens to connect to a Kubernetes cluster through Koko can result in the execution of dangerous commands that may disrupt the Koko container environment and affect normal usage. The vulnerability has been fixed in v2.28.8.
Elemzés leírás forrása: CVE-2023-28110Hatás
CVSS3.1 Súlyosság és Metrika
Alap pontszám: 9.9 (Kritikus)
Vektor: AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Hatás pontszáma: 6
Kihasználhatóság pontszáma: 3.1
Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Alacsony
Felhasználói Interakció (UI): Nincs
Hatókör (S): Változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Magas
Rendelkezésre állás Hatása (A): Magas
Sérülékeny szoftverek
fit2cloud / jumpserver 2.28.8 előttig
fit2cloud / koko