CVE-2020-7943 PoC — Puppet和PuppetDB 信息泄露漏洞
关联漏洞
标题:Puppet和PuppetDB 信息泄露漏洞 (CVE-2020-7943)Description:Puppet和Puppet Server都是美国Puppet(Puppet)实验室的产品。Puppet是一套基于客户端/服务器(C/S)架构的配置管理工具,它可用于管理配置文件、用户、cron任务、软件包、系统服务等。Puppet Enterprise是Puppet的企业版。PuppetDB是Puppet的下一代开源存储服务,它可用于管理所有平台生成的数据存储和检索。Puppet Server是一款用于将配置从主服务器推送到其他服务器的软件。 Puppet Enterprise、Puppet Server
Description
PuppetDB dashboard and API endpoints were found accessible without authentication. PuppetDB stores infrastructure configuration data including node facts, catalogs, and reports. Unauthenticated access exposes sensitive infrastructure details such as hostnames, IP addresses, OS versions, installed packages, Puppet classes, and configuration parameters across the entire managed environment.
文件快照
备注
1. 建议优先通过来源进行访问。
2. 本地 POC 快照面向订阅用户开放;当原始来源失效或无法访问时,本地镜像作为订阅权益的一部分提供。
3. 持续抓取、验证、维护这份 POC 档案需要不少投入,因此本地快照已纳入付费订阅。您的订阅是让这份资料能继续走下去的关键,由衷感谢。 查看订阅方案 →