漏洞描述
SaltStack Salt是SaltStack公司的一套开源的用于管理基础架构的工具。该工具提供配置管理、远程执行等功能。SaltStack Salt2019.2.4之前版本和3000.2之前的3000.x版本中存在安全漏洞,该漏洞源于salt-master进程的ClearFuncs类没有正确验证方法的调用。远程攻击者可利用该漏洞检索用户令牌或执行任意命令。
SaltStack 存在认证绕过漏洞(CVE-2020-11651)
PoC代码
暂无相关漏洞推荐
- POCCVE-2020-16846: SaltStack <=3002 - Shell Injection
- POCCVE-2021-25281: SaltStack Salt <3002.5 - Auth Bypass
- POCCVE-2020-16846: SaltStack <=3002 - Shell Injection
- POCCVE-2021-25281: SaltStack Salt <3002.5 - Auth Bypass
- 无POCSaltstack 需授权 路径遍历漏洞
- 无POCSaltStack salt-api wheel_async未授权访问(CVE-2021-25281)
- 无POCSaltStack任意文件写入(CVE-2021-25282)
- 无POCSaltStack未授权访问及命令执行(CVE-2020-16846,CVE-2020-25592)
- 无POCSaltStack 存在目录遍历漏洞(CVE-2020-11652)
- 无POCSaltStack Salt Master 认证绕过致远程代码执行漏洞