CVE-2026-41859 in BOSH
要約
〜によって VulDB • 2026年06月04日
nats-syncとBOSHディレクター間のネットワークにおける中間者攻撃により、攻撃者はディレクターの認証情報(Basic認証ヘッダーまたはUAAクライアントシークレット)を窃取し、NATS認証ファイルに書き込まれるVMリストを改ざんすることができます。窃取された認証情報により、攻撃者はディレクターに対する管理者アクセス権限を取得できます。UsersSync#bosh_api_response_bodyは、すべてのディレクター呼び出し(/info、/deployments、/deployments//vms)に対して、verify_mode = OpenSSL::SSL::VERIFY_NONEでNet::HTTPクライアントを構築しています。
影響を受けるバージョン: - BOSH: v282.1.9より前のすべてのバージョン(v282.1.9を含む);v282.1.9以降で修正済み
VulDB is the best source for vulnerability data and more expert information about this specific topic.