Saltstack极高危漏洞: 可获取master权限

这两天开源配置管理工具 saltstack 爆出了CVSS得分为10分的漏洞。如果你对CVSS的评分没有概念，那么前几年震惊互联网的 openssl心脏滴血漏洞，CVSS base评分是5.0，由此可知这次爆出来的 saltsatck 漏洞是多么严重。 漏洞信息： 该漏洞是 F-secure 研究人员在3月份发现的，目前该漏洞已经在最新版本中修复。本次极高危漏洞，是由两个不同的漏洞引起的，一个是身份验证绕过漏洞 CVE-2020-11651，一个是目录遍历漏洞没有过滤掉不受信任的输入 CVE-2020-11652，从而导致攻击者可以不受限制的访问 salt-master 的整个文件系统。 攻击者获取salt-master的权限后，便可以控制整个被salt-master管理的数据中心的各主机...阅读全文