从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞名称:Negative command ACLs can be circumvented by abbreviating commands - 发布者:pstorz - 漏洞编号:GHSA-jfww-q346-r2r8 - 发布时间:8小时之前 2. 受影响的版本: - 包名:bareos-director - 受影响的版本: - >= 23.0.0, = 22.0.0, < 22.1.6 - < 21.1.11 3. 修复版本: - 23.0.4 - 22.1.6 - 21.1.11 4. 严重性: - 严重性等级:High - CVSS v3 base metrics: - Attack vector:Network - Attack complexity:Low - Privileges required:Low - User interaction:None - Scope:Unchanged - Confidentiality:High - Integrity:High - Availability:High 5. 漏洞描述: - 当命令ACL在位时,用户在bconsole中执行命令时使用缩写(例如,“w”代替“whoami”)时,ACL检查没有应用到完整的命令(例如,“whoami”),而是应用到缩写的命令(例如,“w”)。如果命令ACL配置为禁止使用“whoami”命令的负向ACL,用户仍然可以成功使用“w”或“who”作为命令。 6. 受影响的用户: - 使用命令ACL的Bareos版本23之前到23.0.4,版本22之前到22.1.6,版本21之前到21.1.11以及任何较旧版本的用户可能受到影响。 7. 修复措施: - 修复问题的补丁已包含在Bareos版本23.0.4、22.1.6和21.1.11中。 8. 工作绕过: - 如果仅使用不带任何否定的正向命令ACL,问题不会发生。 9. 参考链接: - WebUI Profile Resource Configuration - Command ACL documentation - Pull request containing the fix 这些信息可以帮助理解漏洞的性质、影响范围以及如何修复和绕过漏洞。