CVE-2020-8903— Google Cloud Platform guest-oslogin 安全漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2020-8903の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
Priviged Escalation in Google Cloud Platform's Guest-OSLogin
ソース: NVD (National Vulnerability Database)
脆弱性説明
A vulnerability in Google Cloud Platform's guest-oslogin versions between 20190304 and 20200507 allows a user that is only granted the role "roles/compute.osLogin" to escalate privileges to root. Using their membership to the "adm" group, users with this role are able to read the DHCP XID from the systemd journal. Using the DHCP XID, it is then possible to set the IP address and hostname of the instance to any value, which is then stored in /etc/hosts. An attacker can then point metadata.google.internal to an arbitrary IP address and impersonate the GCE metadata server which make it is possible to instruct the OS Login PAM module to grant administrative privileges. All images created after 2020-May-07 (20200507) are fixed, and if you cannot update, we recommend you edit /etc/group/security.conf and remove the "adm" user from the OS Login entry.
ソース: NVD (National Vulnerability Database)
CVSS情報
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
缺省权限不正确
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Google Cloud Platform guest-oslogin 安全漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Google Cloud Platform是美国谷歌(Google)公司的一款能够提供云计算、数据存储、数据分析及机器学习等服务的云计算平台。 Google Cloud Platform中的guest-oslogin 20190304版本至20200507之前版本中存在安全漏洞。攻击者可利用该漏洞将权限提升至root。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
| ベンダー | プロダクト | 影響を受けるバージョン | CPE | 購読 |
|---|---|---|---|---|
| Google LLC | guest-oslogin | 20190304 ~ 20200507 | - |
II. CVE-2020-8903の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2020-8903のインテリジェンス情報
请登录查看更多情报信息。
- https://cloud.google.com/support/bulletins/#gcp-2020-008x_refsource_MISC
- https://github.com/GoogleCloudPlatform/guest-oslogin/pull/29x_refsource_CONFIRM
- http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00037.htmlvendor-advisoryx_refsource_SUSE
- http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00047.htmlvendor-advisoryx_refsource_SUSE
- https://nvd.nist.gov/vuln/detail/CVE-2020-8903
Same Patch Batch · Google LLC · 2020-06-22 · 3 CVEs total
| CVE-2020-8907 | Priviged Escalation in Google Cloud Platform's Guest-OSLogin | |
| CVE-2020-8933 | Priviged Escalation in Google Cloud Platform's Guest-OSLogin |
IV. 関連脆弱性
同じベンダー: Google LLC
- CVE-2022-3095
Incorrect parsing of the backslash characters in Dart librar - CVE-2022-3474
Bazel leaks user credentials through the remote assets API - CVE-2022-3421
Privilege escalation in Google Drive for Desktop on MacOS - CVE-2022-3171
Memory handling vulnerability in ProtocolBuffers Java core a - CVE-2022-1941
Out of Memory issue in ProtocolBuffers for cpp and python
同じ弱点: CWE-276
- CVE-2026-0539
Local Privilege Escalation in pcvisit service client - CVE-2026-6823
HKUDS OpenHarness Insecure Default Remote Channel Allowlist - CVE-2026-6819
HKUDS OpenHarness Plugin Management Command Exposure - CVE-2026-39454
SKYSEA Client View 安全漏洞 - CVE-2026-30811
Missing Authorization in Configuration Ajax Endpoint leads t
V. CVE-2020-8903へのコメント
まだコメントはありません