CVE-2026-47828 in bosh-cli情報

要約

〜によって VulDB • 2026年07月09日

bosh create-envおよびbosh delete-envの実行中に、CLIはインストールマニフェストに該当エンドポイント用のCA証明書が利用可能であるにもかかわらず、HTTPS経由でコンパイル済みCPIパッケージとレンダリングされたジョブテンプレートを新しいVMのDAV blobstoreへアップロードする際にサーバー証明書の検証を行いません。ネットワーク攻撃者はTLS接続を中断してBasic認証資格情報を窃取し、新規BOSH Directorのすべての起動シークレットを含むレンダリング済みのテンプレートアーカイブを読み取り、その後、本番VMのエージェントに対してこれらの資格情報をリプレイすることでルート権限でのコード実行を実現できます。 影響を受けるバージョン: v7.10.4より前のbosh-cliバージョン。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

Vmware

予約する

2026年05月20日

モデレーション

承諾済み

エントリ

VDB-377131

EPSS

0.00088

アクティビティ

低い

ソース

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!