漏洞描述 Puppet是美国Puppet实验室的一套基于客户端/服务器(C/S)架构的配置管理工具。该工具可用于管理配置文件、用户、cron任务、软件包、系统服务等。 Puppet 2.7.21之前的2.7.x版本,3.1.1之前的3.1.x版本中存在漏洞。通过与‘序列化属性’有关的向量,远程攻击者利用该漏洞执行任意代码。此漏洞仅影响运行ruby 1.9.3及以上版本的puppet主机用户。
相关漏洞推荐 POC CVE-2020-7943: Puppet Server/PuppetDB - Sensitive Information Disclosure POC CVE-2024-36527: Puppeteer Renderer - Directory Traversal POC unauthorized-puppet-node-manager: Puppet Node Manager - Unauthorized Access Puppet 远程代码执行漏洞 Puppet和Puppet Enterprise 远程代码执行漏洞 Puppet和Puppet Enterprise 远程代码执行漏洞