ГлавнаяБаза уязвимостей БДУ → BDU:2023-05938
9высокая

BDU:2023-05938

Уязвимость интерфейса системы управления конфигурациями Ansible Semaphore, связанная неверным управлением генерацией кода, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2023-09-22
Описание

Уязвимость интерфейса системы управления конфигурациями Ansible Semaphore связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
Ansible Semaphore (2.8.90)
Способ устранения

Компенсирующие меры:
- отключение/блокировка функции Extra Variables, если это возможно (доступ к функции можно получить по адресу https://<semaphore-endpoint>/project/id/environment или с помощью флага --extra-vars);
- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
- ограничение доступа к командной строке для недоверенных пользователей;
- мониторинг действий пользователей.

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://gist.github.com/Alevsk/1757da24c5fb8db735d392fd4146ca3ahttps://www.alevsk.com/2023/07/a-quick-story-of-security-pitfalls-with-execcommand-in-software-integrations/
Проверьте безопасность своего сайта и почты → Полная проверка домена