saltstack 远程命令执行 (CVE-2020-16846)
| ID: | 16851 |
|---|---|
| 标题: | saltstack 远程命令执行 (CVE-2020-16846) |
| 描述: | saltstack 远程命令执行 (CVE-2020-16846) vulfocus/saltstack-cve_2020_16846:latest SaltStack 是基于 Python 开发的一套C/S架构配置管理工具。 CVE-2020-16846和CVE-2020-25592组合使用可在未授权的情况下通过salt-api接口执行任意命令。CVE-2020-25592允许任意用户调用SSH模块,CVE-2020-16846允许用户执行任意命令。salt-api虽不是默认开启配置,但绝大多数SaltStack用户会选择开启salt-api,故存在较高风险。 |
| 类型: | WEB |
| 网站: | vulfocus |
| 题目链接: | https://vulfocus.cn |
| 赛事: | None |
| 年度: | None |
| Flag值: | bG9vaw== |
| writeup: | https://vulfocus.cn/#/dashboard |