一、 漏洞 CVE-2025-49828 基础信息
漏洞信息
# Conjur OSS 和 Secrets Manager 以及 Self-Hosted(以前称为 Conjur Enterprise)存在远程代码执行漏洞
## 漏洞概述
Conjur 提供基础设施的秘密管理和应用身份验证。存在一个漏洞,允许经过身份验证的攻击者通过注入秘密或模板到数据库并在暴露的 API 端点执行任意 Ruby 代码来实现远程代码执行。
## 影响版本
- Conjur OSS 版本:1.19.5 至 1.21.1
- Secrets Manager, Self-Hosted (原 Conjur Enterprise) 版本:13.1 至 13.4.1
## 漏洞细节
经过身份验证的攻击者能够注入秘密或模板到 Secrets Manager, Self-Hosted 数据库,并利用暴露的 API 端点来执行任意 Ruby 代码。这会导致在 Secrets Manager 进程中的远程代码执行。
## 影响
该漏洞影响 Secrets Manager, Self-Hosted (原 Conjur Enterprise) 和 Conjur OSS。Conjur OSS 版本 1.21.2 和 Secrets Manager, Self-Hosted 版本 13.5 修复了此问题。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Conjur OSS and Secrets Manager, Self-Hosted (formerly Conjur Enterprise) Vulnerable to Remote Code Execution
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Conjur provides secrets management and application identity for infrastructure. Conjur OSS versions 1.19.5 through 1.21.1 and Secrets Manager, Self-Hosted (formerly known as Conjur Enterprise) 13.1 through 13.4.1 are vulnerable to remote code execution An authenticated attacker who can inject secrets or templates into the Secrets Manager, Self-Hosted database could take advantage of an exposed API endpoint to execute arbitrary Ruby code within the Secrets Manager process. This issue affects both Secrets Manager, Self-Hosted (formerly Conjur Enterprise) and Conjur OSS. Conjur OSS version 1.21.2 and Secrets Manager, Self-Hosted version 13.5 fix the issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-49828 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-49828 的情报信息
-
-
标题: Remote Code Execution in Secrets Manager, Self-Hosted (formerly Conjur Enterprise) and Conjur OSS · Advisory · cyberark/conjur · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-49828