资讯首页 新闻资讯 云计算测评 云服务商动态 技术频道
上云无忧 > 云计算资讯  > 新闻资讯 > CVE-2021-3197:SaltStack 命令注入漏洞

CVE-2021-3197:SaltStack 命令注入漏洞

发布时间: 2021-02-26 17:59:21 |浏览量:432| 评论: 0

2月26日,上云无忧安全应急响应中心监测到SaltStack官方发布安全更新,修复了多个高危漏洞。

本次更新的漏洞影响广泛,建议广大SaltStack用户及时升级到最新版本,避免遭受恶意攻击。


漏洞描述

CVE-2021-3197命令注入漏洞

该漏洞评级为高危。由于Salt-API SSH 客户端过滤不严,攻击者可通过ProxyCommand等参数造成命令执行。

CVE-2021-25281未授权访问漏洞

该漏洞评级为高危。该漏洞源于salt-api未校验wheel_async客户端的eauth凭据,攻击者可远程调用master上任意wheel模块。

CVE-2021-25283 SaltAPI 模板注入漏洞

该漏洞评级为高危。由于 wheel.pillar_roots.write 存在目录遍历,攻击者可构造恶意请求,造成jinja模板注入,执行任意代码。

影响版本

SaltStack < 3002.5

SaltStack < 3001.6

SaltStack < 3000.8

修复建议

将SaltStack升级到最新版本或升级到SaltStack的最新官方补丁

可参考:https://repo.saltstack.com/

参考链接
[1]https://saltproject.io/security_announcements/active-saltstack-cve-release-2021-feb-25/

更多【新闻资讯】相关文章

有话要说

全部评论

暂无评论
官方微信
联系客服
400-826-7010
7x24小时客服热线
分享
  • QQ好友
  • QQ空间
  • 微信
  • 微博
返回顶部