Abús de la funció «Add data source» a Percona PMM
30/04/2026
CVE-2026-25212
CRÍTIC (9,8)
CVSS3: 0,0
Es va descobrir un problema a Percona PMM abans de la versió 3.7. Com que un usuari de base de dades interna conserva privilegis de superusuari específics, un atacant amb drets d’administrador de pmm pot abusar de la funció «Add data source» per sortir del context de la base de dades i executar ordres de shell al sistema operatiu subjacent.
post:/platform/configuration/security/service-accountsdelete:/platform/configuration/security/service-accounts/{user_id}patch:/platform/configuration/security/service-accounts/{user_id}post:/platform/configuration/security/service-accounts/{user_id}/keysdelete:/platform/configuration/security/service-accounts/{user_id}/keys/{api_key_id}patch:/userpost:/userspost:/users/auth/keysdelete:/users/auth/keysdelete:/users/auth/keys/_alldelete:/users/auth/keys/{api_key_id}delete:/users/{user_id}/auth/keysdelete:/users/{user_id}/auth/keys/{api_key_id}delete:/users/{user_name}patch:/users/{user_name}
Sistemes Afectats
- Percona Monitoring And Management
Remediació
Vegeu-ne les Referències.
Referències
