Vulnerabilidad en pcs (CVE-2018-1086)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
12/04/2018
Última modificación:
17/06/2026
Descripción
pcs, en versiones anteriores a la 0.9.164 y 0.10, es vulnerable a una omisión de eliminación de un parámetro de depuración. La interfaz REST del servicio pcsd no eliminó correctamente el argumento pcs de depuración de la consulta /run_pcs, lo que podría haber revelado información sensible. Un atacante remoto con un token válido podría emplear este error para elevar sus privilegios.
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:clusterlabs:pacemaker_command_line_interface:0.9.164:*:*:*:*:*:*:* | ||
| cpe:2.3:a:clusterlabs:pacemaker_command_line_interface:0.10:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_server_eus:7.5:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_server_eus:7.6:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://access.redhat.com/errata/RHSA-2018:1060
- https://access.redhat.com/errata/RHSA-2018:1927
- https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-1086
- https://www.debian.org/security/2018/dsa-4169
- https://access.redhat.com/errata/RHSA-2018:1060
- https://access.redhat.com/errata/RHSA-2018:1927
- https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-1086
- https://www.debian.org/security/2018/dsa-4169



