← volver
CVE-2021-39236

Owners of the S3 tokens are not validated

EPSS 2.5%CWE-862
Vexday Risk Score
3Bajo
Decisión SSVC (CISA)
Track
Sin señal de explotación → monitorear
CVSS EPSS 2.5%KEV nãoPoC Nuclei Metasploit Patch
Ciclo de vida
19 nov 2021Publicada en NVD
Recomendación: Monitorear — sin señal de explotación por ahora.
In Apache Ozone before 1.2.0, Authenticated users with valid Ozone S3 credentials can create specific OM requests, impersonating any other user.
Productos afectados
Apache Software Foundation · Apache Ozone

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://issues.apache.org/jira/browse/HDDS-4763https://mail-archives.apache.org/mod_mbox/ozone-dev/202111.mbox/%3C0fd74baa-88a0-39a2-8f3a-b982acb25d5a%40apache.org%3Ehttp://www.openwall.com/lists/oss-security/2021/11/19/7