Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el almacenamiento de contraseñas en el módulo mgr en ceph (CVE-2020-25678)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-312 Almacenamiento de información sensible en texto claro
Fecha de publicación:
08/01/2021
Última modificación:
23/10/2023

Descripción

Se encontró un fallo en ceph en versiones anteriores a 16.yz, donde ceph almacena contraseñas del módulo mgr en texto sin cifrar. Esto puede ser encontrado al buscar en los registros mgr para grafana y dashboard, con contraseñas visibles

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:redhat:ceph:*:*:*:*:*:*:*:* 16.2.0 (excluyendo)
cpe:2.3:a:redhat:ceph_storage:4.0:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:33:*:*:*:*:*:*:*