CVE-2022-31248

MITJÀ: (5.3)

CVSS3: 4.6

Uyuni-project Uyuni i SUSE Manager Server podrien permetre a un atacant remot obtenir informació sensible, causada per l’exposició d’informació sobre la pretensió d’una adreça de correu electrònic de l’usuari registrat en /rhn/help/Forgotcredentials.do. Mitjançant l’enviament d’una sol·licitud amb disseny especial, un atacant podria aprofitar aquesta vulnerabilitat per aconseguir les adreces de correu electrònic dels usuaris registrats i utilitzar aquesta informació per a llançar altres atacs contra el sistema afectat.

Sistemes Afectats

• uyuni-project Uyuni
• SUSE SUSE Manager Server 4.1
• SUSE SUSE Manager Server 4.2

Remediació
Consulta el repositori GIT d’Uyuni i el lloc web de SUSE per a obtenir informació sobre actualitzacions o solucions suggerides.

Referències

• https://seclists.org/oss-sec/2022/q2/203
• https://github.com/uyuni-project/uyuni/commit/18ba68a0f3de2c6ab77c7b9dc46f45615aacf9e1
• https://www.suse.com/security/cve/CVE-2022-31248.html
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-31248