Hashicorp Nomad/Nomad Enterprise bis 0.12.7 Docker File Sandbox erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.7 | $0-$5k | 0.00 |
Eine kritische Schwachstelle wurde in Hashicorp Nomad sowie Nomad Enterprise bis 0.12.7 ausgemacht. Dies betrifft ein unbekannter Teil der Komponente Docker File Sandbox. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-265. Auswirkungen sind zu beobachten für Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
HashiCorp Nomad and Nomad Enterprise 0.9.0 up to 0.12.7 client Docker file sandbox feature may be subverted when not explicitly disabled or when using a volume mount type. Fixed in 0.12.8, 0.11.7, and 0.10.8.Die Schwachstelle wurde am 24.11.2020 veröffentlicht. Auf github.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet seit dem 09.11.2020 als CVE-2020-28348 statt. Das Ausnutzen gilt als leicht. Der Angriff kann im lokalen Netzwerk passieren. Das Angehen einer einfachen Authentisierung ist erforderlich, um eine Ausnutzung anzugehen. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.
Ein Upgrade auf die Version 0.10.8, 0.11.7 oder 0.12.8 vermag dieses Problem zu beheben. Eine neue Version kann von github.com bezogen werden.
Produkt
Hersteller
Name
CPE 2.3
CPE 2.2
CVSSv3
VulDB Meta Base Score: 6.0VulDB Meta Temp Score: 5.7
VulDB Base Score: 5.5
VulDB Temp Score: 5.3
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 6.5
NVD Vector: 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 🔍 | 🔍 | 🔍 | 🔍 | 🔍 | 🔍 |
| 🔍 | 🔍 | 🔍 | 🔍 | 🔍 | 🔍 |
| 🔍 | 🔍 | 🔍 | 🔍 | 🔍 | 🔍 |
| Vector | Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| unlock | unlock | unlock | unlock | unlock | unlock |
| unlock | unlock | unlock | unlock | unlock | unlock |
| unlock | unlock | unlock | unlock | unlock | unlock |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔒
Exploiting
Klasse: Erweiterte RechteCWE: CWE-265
ATT&CK: Unbekannt
Lokal: Nein
Remote: Teilweise
Verfügbarkeit: 🔒
Status: Nicht definiert
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | unlock | unlock | unlock | unlock |
|---|---|---|---|---|
| Heute | unlock | unlock | unlock | unlock |
Threat Intelligence
Bedrohungslage: 🔍Gegner: 🔍
Geopolitik: 🔍
Ökonomie: 🔍
Voraussagen: 🔍
Massnahmen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Upgrade: Nomad/Nomad Enterprise 0.10.8/0.11.7/0.12.8
Timeline
09.11.2020 CVE zugewiesen24.11.2020 Advisory veröffentlicht
24.11.2020 VulDB Eintrag erstellt
10.12.2020 VulDB letzte Aktualisierung
Quellen
Advisory: github.comStatus: Bestätigt
CVE: CVE-2020-28348 (🔒)
Eintrag
Erstellt: 24.11.2020 10:36Aktualisierung: 10.12.2020 09:51
Anpassungen: (18) vulnerability_cvss3_nvd_av vulnerability_cvss3_nvd_ac vulnerability_cvss3_nvd_pr vulnerability_cvss3_nvd_ui vulnerability_cvss3_nvd_s vulnerability_cvss3_nvd_c vulnerability_cvss3_nvd_i vulnerability_cvss3_nvd_a vulnerability_cvss2_nvd_av vulnerability_cvss2_nvd_ac vulnerability_cvss2_nvd_au vulnerability_cvss2_nvd_ci vulnerability_cvss2_nvd_ii vulnerability_cvss2_nvd_ai vulnerability_cvss3_meta_basescore vulnerability_cvss3_meta_tempscore vulnerability_cvss2_nvd_basescore vulnerability_cvss3_nvd_basescore
Komplett: 🔍
Kommentare
Do you need the next level of professionalism?
Upgrade your account now!
Bisher keine Kommentare. Bitte loggen Sie sich ein, um kommentieren zu können.