CVE-2024-47533
CriticalSummary
Cobbler, serwer instalacyjny Linux, ma lukę w autoryzacji, która występuje od wersji 3.0.0 do 3.2.2 oraz 3.3.6. Funkcja `utils.get_shared_secret()` zawsze zwraca `-1`, co pozwala każdemu na połączenie się z XML-RPC Cobblera jako użytkownik `''` z hasłem `-1` i wprowadzenie dowolnych zmian.
Risk Assessment
Każdy, kto ma dostęp do sieci, może uzyskać pełną kontrolę nad serwerem Cobbler, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Recommendation
Zaleca się aktualizację do wersji 3.2.3 lub 3.3.7, które naprawiają tę lukę, aby zabezpieczyć serwer przed nieautoryzowanym dostępem.
Original NVD description (English source)
Cobbler, a Linux installation server that allows for rapid setup of network installation environments, has an improper authentication vulnerability starting in version 3.0.0 and prior to versions 3.2.3 and 3.3.7. `utils.get_shared_secret()` always returns `-1`, which allows anyone to connect to cobbler XML-RPC as user `''` password `-1` and make any changes. This gives anyone with network access to a cobbler server full control of the server. Versions 3.2.3 and 3.3.7 fix the issue.

