关键信息 漏洞描述 漏洞编号: CVE-2024-6861 公开日期: 2024年10月9日 最近更新日期: 2024年10月9日 影响范围: Foreman通过GraphQL API发现了一个敏感信息泄露的漏洞。如果启用元数据功能,攻击者可以通过GraphQL API获取敏感的管理员认证密钥,这可能导致整个产品的API被泄露。 影响 受影响的产品: Foreman 受影响的版本: Foreman 3.3,首次在Satellite 6.12中发布。 受影响的组件: foreman 防范措施 修复措施: 通过禁用GraphQL元数据功能或完全禁用GraphQL API来修复此问题。 额外措施: 可以通过反向代理或直接在web服务器配置中过滤恶意请求。 补丁信息 补丁状态: 已修复 补丁编号: RHSA-2022:8506 发布日期: 2022年11月16日 CVSS评分 CVSS v3 Base Score: 7.5 CVSS v3 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 认证 感谢: 感谢Sébastien Vecten报告此问题。 常见问题 为什么Red Hat的CVSS v3评分与其他供应商不同? 如果我的产品被列为“正在调查”或“受影响”,Red Hat何时会发布修复? 如果我的产品被列为“无法修复”,我该怎么办? 什么是缓解措施? 我有Red Hat产品,但不在上述列表中,是否受影响? 为什么我的安全扫描器报告我的产品存在此漏洞,尽管我的产品版本已修复或不受影响? 外部参考 CVE-2024-6861 NVD Foreman文档 Foreman问题 版权 版权: 2021年Red Hat, Inc.