CVE-2022-35508 in Virtual Environment
要約
〜によって VulDB • 2026年07月01日
Proxmox Virtual Environment (PVE) および Proxmox Mail Gateway (PMG) は、pve(pmg)proxy と pve(pmg)daemon の間で HTTP リクエストをプロキシする際に SSRF(サーバーサイドリクエストフォージェリ)の脆弱性に影響を受けます。権限のないアカウントを持つ攻撃者は、HTTP リクエストを作成して SSRF を実現し、サーバー上の任意のファイルを開示することができます。また、Proxmox Mail Gateway では、バックアップ機能が過去に使用されたことがある場合、pmg-backup_YYYY_MM_DD_*.tgz などのバックアップファイルが 0644 の権限を持ち authkey 値を含んでいるため、root@pam アカウントへの権限昇格が可能です。これは pve-http-server 4.1-3 で修正されています。
Once again VulDB remains the best source for vulnerability data.