Vulnérabilité dans l’agent de contrôle Nginx
Date de publication :
CVE-2020-27730[Score CVSS v3 : 9.8] : Une vulnérabilité a été corrigée dans l’agent de contrôle Nginx. Elle est due au fait que l’agent n’utilise pas des chemins absolus lorsqu’il effectue une requête système. Une exploitation réussie peut permettre à un attaquant local et authentifié d'élever ses privilèges et d’injecter du code arbitraire.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Injection de code arbitraire
- Élévation de privilèges
Criticité
- Score CVSS v3 : 9.8
Existence d’un code d’exploitation
- Il n’existe pas de code d’exploitation publique à l’heure actuelle.
Composants vulnérables
Les versions de suivantes de NGINX Controller Agent sont impactées par les vulnérabilités :
- 1.0.1
- 2.0.0 - 2.9.0
- 3.0.0 - 3.9.0
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour NGINX Controller Agent vers la version 3.10.0.
Les versions 2.x.0 et 1.x.0 ne seront a priori pas corrigées.
Solution de contournement
Il n’existe pas de solution de contournement proposée à l’heure actuelle.