0x00  漏洞编号

• CVE-2020-11651
• CVE-2020-11652

0x01  漏洞概述

SaltStack 是基于 Python 开发的一套C/S架构配置管理工具。国外某安全团队披露了 SaltStack 存在认证绕过漏洞（CVE-2020-11651）和目录遍历漏洞（CVE-2020-11652）。在 CVE-2020-11651 认证绕过漏洞中，攻击者通过构造恶意请求，可以绕过 Salt Master 的验证逻辑，调用相关未授权函数功能，从而可以造成远程命令执行漏洞。在 CVE-2020-11652 目录遍历漏洞中，攻击者通过构造恶意请求，读取服务器上任意文件。

0x02  漏洞描述

CVE-2020-11651

ClearFuncs 类在处理授权时，并未限制 _send_pub() 方法，该方法直接可以在发布队列消息，发布的消息会通过 root 身份权限进行执行命令。

ClearFuncs还公开了_prep_auth_info()方法，通过该方法可以获取到"root key"，通过获取到的"root key"可以在主服务上执远程调用命令。CVE-2020-11652

whell 模块中包含用于在特定目录下读取、写入文件命令。函数中输入的信息与目录进行拼接可以绕过目录限制。

在salt.tokens.localfs类的get_token() 方法（由 ClearFuncs 类可以通过未授权进行调用）无法删除输入的参数，并且作为文件名称使用，在路径中通过拼接”..”进行读取目标目录之外的文件。唯一的限制时文件必须通过salt.payload.Serial.loads()进行反序列化。

0x03 影响版本

< 2019.2.4

< 3000.2

0x04 修复建议

升级至安全版本

官方链接地址：

https://community.saltstack.com/blog/critical-vulnerabilities-update-cve-2020-11651-and-cve-2020-11652/