CVE-2021-25281salt-api未校验wheel_async客户端的eauth凭据，受此漏洞影响攻击者可远程调用master上任意wheel模块。CVE-2021-25282salt，wheel，pillar_roots，write 方法存在目录穿越漏洞。CVE-2021-25283内置Jinja渲染引擎存在SSTI（Server Side Template Injection，服务端模板注入）漏洞。CVE-2021-25284webutils将明文密码写入/var/log/salt/minionSalt。默认配置中不存在此问题。CVE-2021-3197Salt-API的SSH客户端容易受到Shell注入的攻击，方法是在参数中包含ProxyCommand或通过API请求中提供的ssh_options。此模块在默认情况下未运行。CVE-2021-3148salt，utils 香蕉视频APP下载官网，thin，gen_thin() 中存在命令注入。通过SaltAPI，从格式化的字符串构造命令，如果 extra_mods 中有单引号，则可以将命令截断，因为json，dumps() 会转义双引号，同时保持单引号不变。CVE-2020-35662默认情况下，Salt存在不验证SSL证书的几个地方。CVE-2021-3144eauth令牌在过期后仍可以使用一次。CVE-2020-28972缺少对SSL证书的验证，代码库无法验证91精品香蕉视频的SSL/TLS证书，这可能使攻击者可以通过中间人攻击获取敏感信息。CVE-2020-28243Minion中的本地特权提升漏洞，当无特权的用户能够通过进程名称中的命令注入而能够在任何未列入黑名单的目录中创建文件时，SaltStack的Minion可以进行特权升级。。

CVSS评分：

受影响产品：

攻击者通过组合CVE-2021-25281，CVE-2021-25282，CVE-2021-25283攻击 香蕉视频国产，可以达到无需登录实现远程命令执行的效果。

请用户直接联系客户服务人员或发送邮件至sales@m.minyunku.com，获取补丁，以及相关的技术协助，说明：升级补丁包对存储业务无影响 91精品香蕉视频。

无

20210323-V1.0-Initial Release

获取技术支持：https://m 香蕉视频污污版. minyunku. com/lcjtww/2317452/2317456/2317460/index. html.