Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Satellite (CVE-2024-4871)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
14/05/2024
Última modificación:
12/08/2024

Descripción

Se encontró una vulnerabilidad en Satellite. Cuando se ejecuta un trabajo de ejecución remota en un host, no se verifica la clave SSH del host. Cuando la clave cambia, el Satélite aún lo conecta porque usa "-o StrictHostKeyChecking=no". Esta falla puede provocar un ataque de intermediario (MITM), denegación de servicio, filtración de secretos que contiene el trabajo de ejecución remota u otros problemas que pueden surgir de la capacidad del atacante para falsificar una clave SSH. Este problema no permite directamente la ejecución remota no autorizada en el Satélite, aunque puede filtrar secretos que pueden conducir a ello.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.80 MEDIA
Vector: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
6.80
Gravedad 3.x
MEDIA

Referencias a soluciones, herramientas e información