Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en Salt de SaltStack

Fecha de publicación 06/05/2020
Importancia
5 - Crítica
Recursos Afectados
  • Salt, versión 3000.1 y anteriores;
  • Salt, versión 2019.2.3 y anteriores.
Descripción

Investigadores de F-Secure han reportado a Salt dos vulnerabilidades de severidad crítica que afectan a su Framework Salt. Un atacante, remoto, podría evadir los controles de autenticación y ejecutar código arbitrario con privilegios de root en el sistema.

Solución
Detalle
  • La clase ClearFuncs, del proceso Salt-master, no valida adecuadamente las llamadas a métodos. Un atacante remoto podría acceder algunos métodos evadiendo la autenticación. Se ha asignado el identificador CVE-2020-11651 para esta vulnerabilidad.
  • La clase ClearFuncs, del proceso Salt-master, permite acceder a algunos métodos que sanean inapropiadamente las rutas. Un atacante remoto, autenticado, podría acceder a directorios. Se ha asignado el identificador CVE-2020-11652 para esta vulnerabilidad.

Encuesta valoración