Vigil@nce - Puppet Labs Puppet : exécution de code via pxp-module-puppet
août 2016 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut manipuler l’environnement du programme
pxp-module-puppet de Puppet Labs Puppet, afin d’exécuter du code.
Produits concernés : Puppet.
Gravité : 1/4.
Date création : 12/08/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Puppet Labs Puppet Agent utilise ses variables
d’environnement.
Cependant, l’agent ne valide pas ou ne filtre pas l’environnement.
Un attaquant peut manipuler celui-ci afin de faire exécuter du
code. Les détails techniques ne sont pas connus.
Un attaquant peut donc manipuler l’environnement du programme
pxp-module-puppet de Puppet Labs Puppet, afin d’exécuter du code.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
https://vigilance.fr/vulnerabilite/Puppet-Labs-Puppet-execution-de-code-via-pxp-module-puppet-20373