Vulnerabilidad en Pulp (CVE-2024-7143)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

07/08/2024

Última modificación:

18/09/2024

Descripción

Se encontró un defecto en el paquete Pulp. Cuando un objeto de control de acceso basado en roles (RBAC) en Pulp está configurado para asignar permisos en su creación, utiliza `AutoAddObjPermsMixin` (normalmente el método add_roles_for_object_creator). Este método encuentra al creador del objeto verificando el usuario autenticado actual. Para los objetos que se crean dentro de una tarea, este usuario actual lo establece el primer usuario con permisos en el objeto de la tarea. Esto significa que el usuario más antiguo con permisos de tareas a nivel de modelo/dominio siempre se configurará como el usuario actual de una tarea, incluso si no envió la tarea. Por lo tanto, todos los objetos creados en tareas tendrán sus permisos asignados a este usuario más antiguo y el usuario creador no recibirá nada.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.30 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Bajo