Vulnerabilidad en pcs (CVE-2018-1079)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
12/04/2018
Última modificación:
17/06/2026
Descripción
pcs, en versiones anteriores a la 0.9.164 y 0.10, es vulnerable a un escalado de privilegios mediante una llamada REST maliciosa realizada por un usuario autorizado. La interfaz REST del servicio pcsd no saneó correctamente el nombre de archivo de la consulta /remote/put_file. Si el directorio /etc/booth existe, un atacante autenticado con permisos de escritura podría crear o sobrescribir archivos arbitrarios con datos arbitrarios fuera del directorio /etc/booth, en el contexto del proceso pcsd.
Impacto
Puntuación base 3.x
8.70
Gravedad 3.x
ALTA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:clusterlabs:pacemaker_command_line_interface:*:*:*:*:*:*:*:* | 0.9.164 (incluyendo) | |
| cpe:2.3:a:clusterlabs:pacemaker_command_line_interface:0.10:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux:7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux:7.5:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página



