Octopus Deploy安全限制绕过漏洞

CNVD编号CNVD-2018-10663

CVE编号 CVE-2018-10550	CNNVD编号 CNNVD-201805-049
CICSVD编号 --
危害级别	漏洞类型通用型漏洞
公开时间 2018-05-31	报送时间 2018-05-17
收录时间 2018-05-31	更新时间 2018-05-31
CVSS 2.0 AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS 3.X CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
影响产品 Octopus Deploy Octopus Deploy <2018.4.7

漏洞描述

Octopus Deploy是澳大利亚Octopus Deploy公司的一款用于.NET的开发部署的自动化工具。 Octopus Deploy 2018.4.7之前版本中存在安全漏洞，该漏洞源于程序未能对照用户可以访问租户的列表核对目标和租户标签的变量作用域。攻击者可通过发送特制的请求利用该漏洞绕过安全限制，部署恶意的内容。

漏洞解决方案

目前厂商已发布升级补丁以修复漏洞，补丁获取链接： https://github.com/OctopusDeploy/Issues/issues/4454

厂商补丁

Octopus Deploy安全限制绕过漏洞的补丁

前往查看

验证信息

(暂无验证信息)

参考链接

https://github.com/OctopusDeploy/Issues/issues/4454

漏洞附件

检索漏洞