重要情報 脆弱性概要 CVE番号: CVE-2024-7143 公開日: 2024年8月7日 最終更新日: 2024年8月7日 重大度: 中 概要: Pulpパッケージに脆弱性が存在します。ロールベースのアクセス制御(RBAC)オブジェクトが、Pulp内で作成された権限を割り当てるために設定されている場合、 (通常は メソッド)が使用されます。これにより、オブジェクトの作成者は現在の認証ユーザーを確認してオブジェクトの作成者を特定します。タスク内で作成されたオブジェクトの場合、現在のユーザーはタスクオブジェクトの作成者に設定されますが、そのユーザーが実際にタスクを実行しているわけではありません。つまり、モデル/ドメインレベルのタスク権限を持つ最も古いユーザーが、実際にタスクを実行していない場合でも、常にタスクの現在のユーザーとして設定されます。その結果、タスク内で作成されたすべてのオブジェクトには、この最も古いユーザーに割り当てられた権限が付与され、実際の作成者には権限が割り当てられません。 パッチ情報 影響を受けるパッケージおよびRed Hatセキュリティパッチ: - Red Hat Ansible Automation Platform 2 - Red Hat Satellite 6 - Red Hat Update Infrastructure 4 for Cloud Providers CVSSスコア CVSS v3 ベーススコア: 6.7 攻撃ベクトル: ネットワーク 攻撃の複雑さ: 低 必要な権限: 高 ユーザー相互作用: なし スコープ: 不変 機密性への影響: 高 完全性への影響: 高 可用性への影響: 低 よくある質問 なぜRed HatのCVSS v3スコアや影響度評価が他のベンダーと異なるのですか? 製品が「調査中」または「影響あり」としてリストされていますが、Red Hatはこの脆弱性を修正するパッチをいつリリースしますか? 製品が「修正しない」としてリストされている場合、どうすればよいですか? 緩和策とは何ですか? Red Hat製品を持っていますが、上記のリストに含まれていません。この製品は影響を受けますか? 製品のバージョンが修正済みまたは影響を受けないにもかかわらず、セキュリティスキャナーが製品がこの脆弱性の影響を受けていると報告するのはなぜですか? その他の情報 このページはRed Hatによって自動生成されており、エラーや漏れがないか確認されていません。 明確化や訂正については、Red Hat製品セキュリティまでお問い合わせください。 最終更新日: 2024年8月7日、UTC 16:48:25 CVE記述の著作権: © 2021