Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en Salt de SaltStack

Múltiples vulnerabilidades en Salt de SaltStack

Fecha de publicación: 
06/05/2020
Importancia: 
5 - Crítica
Recursos afectados: 
  • Salt, versión 3000.1 y anteriores;
  • Salt, versión 2019.2.3 y anteriores.
Descripción: 

Investigadores de F-Secure han reportado a Salt dos vulnerabilidades de severidad crítica que afectan a su Framework Salt. Un atacante, remoto, podría evadir los controles de autenticación y ejecutar código arbitrario con privilegios de root en el sistema.

Solución: 
Detalle: 
  • La clase ClearFuncs, del proceso Salt-master, no valida adecuadamente las llamadas a métodos. Un atacante remoto podría acceder algunos métodos evadiendo la autenticación. Se ha asignado el identificador CVE-2020-11651 para esta vulnerabilidad.
  • La clase ClearFuncs, del proceso Salt-master, permite acceder a algunos métodos que sanean inapropiadamente las rutas. Un atacante remoto, autenticado, podría acceder a directorios. Se ha asignado el identificador CVE-2020-11652 para esta vulnerabilidad.

Encuesta valoración