Inicio / Alerta Temprana / Vulnerabilidades / CVE-2021-25281

Vulnerabilidad en las credenciales de eauth en el cliente wheel_asyn en la salt-api en SaltStack Salt (CVE-2021-25281)

Tipo: 
Autenticación incorrecta
Gravedad: 
Alta
Fecha publicación : 
27/02/2021
Última modificación: 
01/04/2021
Descripción
Se detectó un problema por medio de SaltStack Salt versiones anteriores a 3002.5. salt-api no respeta las credenciales de eauth para el cliente wheel_async. Por lo tanto, un atacante puede ejecutar remotamente cualquier módulo wheel en el maestro
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Baja
Autenticación: No requerida para explotarla
Tipo de impacto: Afecta parcialmente a la integridad del sistema + Afecta parcialmente a la confidencialidad del sistema + Afecta parcialmente a la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:o:fedoraproject:fedora:34:*:*:*:*:*:*:*
  • cpe:2.3:o:fedoraproject:fedora:33:*:*:*:*:*:*:*
  • cpe:2.3:o:fedoraproject:fedora:32:*:*:*:*:*:*:*
  • cpe:2.3:a:saltstack:salt:*:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Explicación de los campos