CVE-2022-35508 in Virtual Environmentالمعلومات

الملخص

بحسب VulDB • 01/07/2026

تواجه بيئات Proxmox Virtual Environment (PVE) وبوابة البريد الإلكتروني Proxmox Mail Gateway (PMG) ثغرة في طلبات التمثيل الوكيل للخدمة الخلفية (SSRF) عند وسيطة طلبات HTTP بين pve(pmg)proxy وpve(pmg)daemon. يمكن لمهاجم يمتلك حسابًا غير مخصص الصلاحيات صياغة طلب HTTP لتحقيق SSRF وكشف الملفات الخاصة بأي ملفات على الخادم. بالإضافة إلى ذلك، في بوابة البريد الإلكتروني Proxmox Mail Gateway، من الممكن تصعيد الامتيازات للوصول إلى حساب root@pam إذا تم استخدام ميزة النسخ الاحتياطي سابقًا، لأن ملفات النسخة الاحتياطية مثل pmg-backup_YYYY_MM_DD_*.tgz لها صلاحيات 0644 وتحتوي على قيمة authkey. وقد تمت معالجة هذه الثغرة في pve-http-server الإصدار 4.1-3.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

حجز

11/07/2022

إفشاء

05/12/2022

الاعتدال

تمت الموافقة

إدخال

VDB-214792

EPSS

0.01175

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you know our Splunk app?

Download it now for free!