Vulnerabilidad en el envío de peticiones web en la Salt API en SaltStack Salt (CVE-2020-16846)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
06/11/2020
Última modificación:
14/03/2025
Descripción
Se detectó un problema en SaltStack Salt versiones hasta 3002. El envío de peticiones web diseñadas a la Salt API, con el cliente SSH habilitado, puede resultar en una inyección shell
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:saltstack:salt:*:*:*:*:*:*:*:* | 2015.8.10 (excluyendo) | |
| cpe:2.3:a:saltstack:salt:*:*:*:*:*:*:*:* | 2015.8.11 (incluyendo) | 2015.8.13 (excluyendo) |
| cpe:2.3:a:saltstack:salt:*:*:*:*:*:*:*:* | 2016.3.0 (incluyendo) | 2016.3.4 (excluyendo) |
| cpe:2.3:a:saltstack:salt:*:*:*:*:*:*:*:* | 2016.3.5 (incluyendo) | 2016.3.6 (excluyendo) |
| cpe:2.3:a:saltstack:salt:*:*:*:*:*:*:*:* | 2016.3.7 (incluyendo) | 2016.3.8 (excluyendo) |
| cpe:2.3:a:saltstack:salt:*:*:*:*:*:*:*:* | 2016.11.0 (incluyendo) | 2016.11.3 (excluyendo) |
| cpe:2.3:a:saltstack:salt:*:*:*:*:*:*:*:* | 2016.11.4 (incluyendo) | 2016.11.6 (excluyendo) |
| cpe:2.3:a:saltstack:salt:*:*:*:*:*:*:*:* | 2016.11.7 (incluyendo) | 2016.11.10 (excluyendo) |
| cpe:2.3:a:saltstack:salt:*:*:*:*:*:*:*:* | 2017.5.0 (incluyendo) | 2017.7.4 (excluyendo) |
| cpe:2.3:a:saltstack:salt:*:*:*:*:*:*:*:* | 2017.7.5 (incluyendo) | 2017.7.8 (excluyendo) |
| cpe:2.3:a:saltstack:salt:*:*:*:*:*:*:*:* | 2018.2.0 (incluyendo) | 2018.3.5 (excluyendo) |
| cpe:2.3:a:saltstack:salt:*:*:*:*:*:*:*:* | 2019.2.0 (incluyendo) | 2019.2.5 (excluyendo) |
| cpe:2.3:a:saltstack:salt:*:*:*:*:*:*:*:* | 3000.0 (incluyendo) | 3000.3 (excluyendo) |
| cpe:2.3:a:saltstack:salt:3001:*:*:*:*:*:*:* | ||
| cpe:2.3:a:saltstack:salt:3002:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-security-announce/2020-11/msg00029.html
- http://packetstormsecurity.com/files/160039/SaltStack-Salt-REST-API-Arbitrary-Command-Execution.html
- https://github.com/saltstack/salt/releases
- https://lists.debian.org/debian-lts-announce/2020/12/msg00007.html
- https://lists.debian.org/debian-lts-announce/2022/01/msg00000.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/TPOGB2F6XUAIGFDTOCQDNB2VIXFXHWMA/
- https://security.gentoo.org/glsa/202011-13
- https://www.debian.org/security/2021/dsa-4837
- https://www.saltstack.com/blog/on-november-3-2020-saltstack-publicly-disclosed-three-new-cves/
- https://www.zerodayinitiative.com/advisories/ZDI-20-1379/
- https://www.zerodayinitiative.com/advisories/ZDI-20-1380/
- https://www.zerodayinitiative.com/advisories/ZDI-20-1381/
- https://www.zerodayinitiative.com/advisories/ZDI-20-1382/
- https://www.zerodayinitiative.com/advisories/ZDI-20-1383/
- http://lists.opensuse.org/opensuse-security-announce/2020-11/msg00029.html
- http://packetstormsecurity.com/files/160039/SaltStack-Salt-REST-API-Arbitrary-Command-Execution.html
- https://github.com/saltstack/salt/releases
- https://lists.debian.org/debian-lts-announce/2020/12/msg00007.html
- https://lists.debian.org/debian-lts-announce/2022/01/msg00000.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/TPOGB2F6XUAIGFDTOCQDNB2VIXFXHWMA/
- https://security.gentoo.org/glsa/202011-13
- https://www.debian.org/security/2021/dsa-4837
- https://www.saltstack.com/blog/on-november-3-2020-saltstack-publicly-disclosed-three-new-cves/
- https://www.zerodayinitiative.com/advisories/ZDI-20-1379/
- https://www.zerodayinitiative.com/advisories/ZDI-20-1380/
- https://www.zerodayinitiative.com/advisories/ZDI-20-1381/
- https://www.zerodayinitiative.com/advisories/ZDI-20-1382/
- https://www.zerodayinitiative.com/advisories/ZDI-20-1383/