CVE-2022-35508 in Virtual Environmentinformación

Resumen

por MITRE • 2022-12-05

Proxmox Virtual Environment (PVE) y Proxmox Mail Gateway (PMG) son vulnerables a SSRF cuando envían solicitudes HTTP entre el proxy pve(pmg) y el daemon pve(pmg). Un atacante con una cuenta sin privilegios puede crear una solicitud HTTP para lograr SSRF y revelar cualquier archivo en el servidor. Además, en Proxmox Mail Gateway, la escalada de privilegios a la cuenta root@pam es posible si alguna vez se ha utilizado la función de copia de seguridad, porque los archivos de copia de seguridad como pmg-backup_YYYY_MM_DD_*.tgz tienen permisos 0644 y contienen un valor de clave de autenticación. Esto se solucionó en pve-http-server 4.1-3.

Be aware that VulDB is the high quality source for vulnerability data.

Reservar

2022-07-11

Divulgación

2022-12-05

Moderación

aceptado

Artículo

VDB-214792

CPE

listo

EPSS

0.01175

KEV

no

Actividades

muy bajo

Fuentes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!