CVE-2023-47112— Rundeck 安全漏洞
获取后续新漏洞提醒登录后订阅
一、 漏洞 CVE-2023-47112 基础信息
漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗ 尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
Authenticated users can view job names and groups they do not have authorization to view in Rundeck
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
Rundeck is an open source automation service with a web console, command line tools and a WebAPI. In affected versions access to two URLs used in both Rundeck Open Source and Process Automation products could allow authenticated users to access the URL path, which provides a list of job names and groups for any project, without the necessary authorization checks. The output of these endpoints only exposes the name of job groups and the jobs contained within the specified project. The output is read-only and the access does not allow changes to the information. This vulnerability has been patched in version 4.17.3. Users are advised to upgrade. Users unable to upgrade may block access to the two URLs used in either Rundeck Open Source or Process Automation products at a load balancer level.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
授权机制缺失
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
Rundeck 安全漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
Rundeck是美国Rundeck公司的一款带有Web控制台、命令行工具和WebAPI的开源自动化服务,它主要用于运行自动化任务。 Rundeck 4.17.0 到4.17.2版本存在安全漏洞,该漏洞源于通过使用两个特殊的 URL 可以访问任何项目的作业名称和组列表,而无需进行必要的授权检查。
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD
受影响产品
二、漏洞 CVE-2023-47112 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
AI 生成 POC高级
未找到公开 POC。
登录以生成 AI POC三、漏洞 CVE-2023-47112 的情报信息
Please 登录 to view more intelligence information
- https://github.com/rundeck/rundeck/security/advisories/GHSA-xvmv-4rx6-x6jxx_refsource_CONFIRM
- https://nvd.nist.gov/vuln/detail/CVE-2023-47112
IV. Related Vulnerabilities
V. Comments for CVE-2023-47112
暂无评论