ALT-PU-2020-2668-1
Closed vulnerabilities
BDU:2021-01900
Уязвимость компонента salt-netapi системы управления конфигурациями и удалённого выполнения операций Salt, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
BDU:2021-01902
Уязвимость модуля TLS системы управления конфигурациями и удалённого выполнения операций Salt, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить доступ к конфиденциальным данным
BDU:2021-01903
Уязвимость системы управления конфигурациями и удалённого выполнения операций Salt, связанная с отсутствием мер по нейтрализации специальных элементов, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
BDU:2022-01766
Уязвимость системы управления конфигурациями и удалённого выполнения операций Salt, связанная с раскрытием информации в ошибочной области данных, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Modified: 2025-03-14
CVE-2020-16846
An issue was discovered in SaltStack Salt through 3002. Sending crafted web requests to the Salt API, with the SSH client enabled, can result in shell injection.
- openSUSE-SU-2020:1868
- openSUSE-SU-2020:1868
- http://packetstormsecurity.com/files/160039/SaltStack-Salt-REST-API-Arbitrary-Command-Execution.html
- http://packetstormsecurity.com/files/160039/SaltStack-Salt-REST-API-Arbitrary-Command-Execution.html
- https://github.com/saltstack/salt/releases
- https://github.com/saltstack/salt/releases
- [debian-lts-announce] 20201204 [SECURITY] [DLA 2480-1] salt security update
- [debian-lts-announce] 20201204 [SECURITY] [DLA 2480-1] salt security update
- [debian-lts-announce] 20220103 [SECURITY] [DLA 2480-2] salt regression update
- [debian-lts-announce] 20220103 [SECURITY] [DLA 2480-2] salt regression update
- FEDORA-2020-9e040bd6dd
- FEDORA-2020-9e040bd6dd
- GLSA-202011-13
- GLSA-202011-13
- DSA-4837
- DSA-4837
- https://www.saltstack.com/blog/on-november-3-2020-saltstack-publicly-disclosed-three-new-cves/
- https://www.saltstack.com/blog/on-november-3-2020-saltstack-publicly-disclosed-three-new-cves/
- https://www.zerodayinitiative.com/advisories/ZDI-20-1379/
- https://www.zerodayinitiative.com/advisories/ZDI-20-1379/
- https://www.zerodayinitiative.com/advisories/ZDI-20-1380/
- https://www.zerodayinitiative.com/advisories/ZDI-20-1380/
- https://www.zerodayinitiative.com/advisories/ZDI-20-1381/
- https://www.zerodayinitiative.com/advisories/ZDI-20-1381/
- https://www.zerodayinitiative.com/advisories/ZDI-20-1382/
- https://www.zerodayinitiative.com/advisories/ZDI-20-1382/
- https://www.zerodayinitiative.com/advisories/ZDI-20-1383/
- https://www.zerodayinitiative.com/advisories/ZDI-20-1383/
Modified: 2024-11-21
CVE-2020-17490
The TLS module within SaltStack Salt through 3002 creates certificates with weak file permissions.
- openSUSE-SU-2020:1868
- openSUSE-SU-2020:1868
- https://docs.saltstack.com/en/latest/topics/releases/index.html#latest-branch-release
- https://docs.saltstack.com/en/latest/topics/releases/index.html#latest-branch-release
- [debian-lts-announce] 20201204 [SECURITY] [DLA 2480-1] salt security update
- [debian-lts-announce] 20201204 [SECURITY] [DLA 2480-1] salt security update
- FEDORA-2020-9e040bd6dd
- FEDORA-2020-9e040bd6dd
- GLSA-202011-13
- GLSA-202011-13
- DSA-4837
- DSA-4837
- https://www.saltstack.com/blog/on-november-3-2020-saltstack-publicly-disclosed-three-new-cves/
- https://www.saltstack.com/blog/on-november-3-2020-saltstack-publicly-disclosed-three-new-cves/
Modified: 2024-11-21
CVE-2020-25592
In SaltStack Salt through 3002, salt-netapi improperly validates eauth credentials and tokens. A user can bypass authentication and invoke Salt SSH.
- openSUSE-SU-2020:1868
- openSUSE-SU-2020:1868
- http://packetstormsecurity.com/files/160039/SaltStack-Salt-REST-API-Arbitrary-Command-Execution.html
- http://packetstormsecurity.com/files/160039/SaltStack-Salt-REST-API-Arbitrary-Command-Execution.html
- https://docs.saltstack.com/en/latest/topics/releases/index.html
- https://docs.saltstack.com/en/latest/topics/releases/index.html
- [debian-lts-announce] 20201204 [SECURITY] [DLA 2480-1] salt security update
- [debian-lts-announce] 20201204 [SECURITY] [DLA 2480-1] salt security update
- FEDORA-2020-9e040bd6dd
- FEDORA-2020-9e040bd6dd
- GLSA-202011-13
- GLSA-202011-13
- DSA-4837
- DSA-4837
- https://www.saltstack.com/blog/on-november-3-2020-saltstack-publicly-disclosed-three-new-cves/
- https://www.saltstack.com/blog/on-november-3-2020-saltstack-publicly-disclosed-three-new-cves/
Modified: 2024-11-21
CVE-2021-21996
An issue was discovered in SaltStack Salt before 3003.3. A user who has control of the source, and source_hash URLs can gain full file system access as root on a salt minion.
- [debian-lts-announce] 20211119 [SECURITY] [DLA 2823-1] salt security update
- [debian-lts-announce] 20211119 [SECURITY] [DLA 2823-1] salt security update
- [debian-lts-announce] 20211121 [SECURITY] [DLA 2823-2] salt regression update
- [debian-lts-announce] 20211121 [SECURITY] [DLA 2823-2] salt regression update
- FEDORA-2021-158e9c6eb9
- FEDORA-2021-158e9c6eb9
- FEDORA-2021-93a7c8b7c6
- FEDORA-2021-93a7c8b7c6
- FEDORA-2021-00ada7e667
- FEDORA-2021-00ada7e667
- https://saltproject.io/security_announcements/salt-security-advisory-2021-sep-02/
- https://saltproject.io/security_announcements/salt-security-advisory-2021-sep-02/
- GLSA-202310-22
- GLSA-202310-22
- DSA-5011
- DSA-5011