製品・ソフトウェアに関する情報
Vulnerability Search
複数の Proxmox Server Solutions 製品におけるサーバサイドのリクエストフォージェリの脆弱性
Title 複数の Proxmox Server Solutions 製品におけるサーバサイドのリクエストフォージェリの脆弱性
Summary

Proxmox Server Solutions の proxmox mail gateway、pve http server、Proxmox Virtual Environment (VE) には、サーバサイドのリクエストフォージェリの脆弱性が存在します。

Possible impacts 情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。
Solution

ベンダアドバイザリまたはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
Publication Date Dec. 4, 2022, midnight
Registration Date Nov. 16, 2023, 5:14 p.m.
Last Update Nov. 16, 2023, 5:14 p.m.
CVSS3.0 : 緊急
Score 9.8
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Affected System
Proxmox Server Solutions
proxmox mail gateway 
Proxmox Virtual Environment (VE) 
pve http server 4.1-3 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
その他
Change Log
No Changed Details Date of change
1 [2023年11月16日]
  掲載		 Nov. 16, 2023, 5:14 p.m.
NVD Vulnerability Information
CVE-2022-35508
Summary

Proxmox Virtual Environment (PVE) and Proxmox Mail Gateway (PMG) are vulnerable to SSRF when proxying HTTP requests between pve(pmg)proxy and pve(pmg)daemon. An attacker with an unprivileged account can craft an HTTP request to achieve SSRF and file disclosure of any files on the server. Also, in Proxmox Mail Gateway, privilege escalation to the root@pam account is possible if the backup feature has ever been used, because backup files such as pmg-backup_YYYY_MM_DD_*.tgz have 0644 permissions and contain an authkey value. This is fixed in pve-http-server 4.1-3.

Publication Date Dec. 5, 2022, 4:15 a.m.
Registration Date Dec. 5, 2022, 10 a.m.
Last Update Nov. 21, 2024, 4:11 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:proxmox:proxmox_mail_gateway:-:*:*:*:*:*:*:*
cpe:2.3:a:proxmox:pve_http_server:*:*:*:*:*:*:*:* 4.1-3
cpe:2.3:a:proxmox:virtual_environment:-:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List