Vulnerabilidad en FOG (CVE-2024-39916)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

12/07/2024

Última modificación:

05/09/2024

Descripción

FOG es un sistema gratuito de gestión de inventario, imágenes, clonación y rescate de código abierto. Existe un problema de seguridad con la configuración de NFS en /etc/exports generada por el instalador que permite a un atacante modificar archivos fuera de la exportación en la instalación predeterminada. Las exportaciones tienen la opción no_subtree_check. La opción no_subtree_check significa que si un cliente realiza una operación de archivo, el servidor solo verificará si el archivo solicitado está en el sistema de archivos correcto, no si está en el directorio correcto. Esto permite modificar archivos en /images, acceder a otros archivos en el mismo sistema de archivos y acceder a archivos en otros sistemas de archivos. Esta vulnerabilidad se solucionó en 1.5.10.30.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.40 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno