关键信息 漏洞描述 漏洞编号: CVE-2024-7143 公开日期: 2024年8月7日 最近修改日期: 2024年8月7日 严重性: 中等 描述: 在Pulp包中发现了一个漏洞。当角色访问控制(RBAC)对象在Pulp中设置以分配其创建的权限时,它使用了 (通常为 方法)。这意味着对象创建者通过检查当前认证用户来找到对象创建者。对于在任务中创建的对象,当前用户将被设置为任务对象的创建者,即使他们没有执行任务。这意味着具有模型/域级任务权限的最旧用户将始终被设置为任务的当前用户,即使他们没有执行任务。因此,所有在任务中创建的对象将具有分配给此最旧用户的权限,而创建者将获得没有任何权限。 补丁信息 受影响的包和Red Hat安全补丁: - Red Hat Ansible Automation Platform 2 - Red Hat Satellite 6 - Red Hat Update Infrastructure 4 for Cloud Providers CVSS评分 CVSS v3 Base Score: 6.7 攻击向量: 网络 攻击复杂性: 低 权限要求: 高 用户交互: 无 范围: 未改变 机密性影响: 高 完整性影响: 高 可用性影响: 低 常见问题 为什么Red Hat的CVSS v3评分或影响与其他供应商不同? 我的产品被列为“正在调查”或“受影响”,Red Hat何时会发布修复此漏洞的补丁? 如果我的产品被列为“不会修复”,我该怎么办? 什么是缓解措施? 我有一个Red Hat产品,但它不在上述列表中,它受影响吗? 为什么我的安全扫描器报告我的产品受到此漏洞的影响,尽管我的产品版本已修复或不受影响? 其他信息 此页面由Red Hat自动生成,未进行错误或遗漏的检查。 联系Red Hat产品安全获取澄清或更正。 最后修改日期: 2024年8月7日,UTC时间4:48:25 PM CVE描述版权: © 2021