Katalog CVE

CVE-2026-43617

ŚrednieCVSS 4.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.28%

Percentyl 20 - wyżej niż 20% wszystkich znanych CVE

Streszczenie

Podatność w rsync 3.4.2 i wcześniejszych pozwala na ominięcie kontroli dostępu opartej na nazwie hosta w demonie rsync, gdy skonfigurowano chroot. Atakujący może kontrolować rekord PTR swojego adresu IP, aby połączyć się z nazwy hosta, którą administrator zablokował, gdy odwrotne DNS zwraca UNKNOWN.

Ocena ryzyka

Organizacja może zezwolić na dostęp z nieautoryzowanych hostów, co prowadzi do nieautoryzowanego odczytu lub zapisu plików przez rsync, potencjalnie naruszając poufność i integralność danych.

Rekomendacja

Zaleca się natychmiastową aktualizację rsync do wersji 3.4.3 lub nowszej, która zawiera poprawkę. Do czasu aktualizacji należy rozważyć użycie reguł zapory sieciowej lub alternatywnych metod uwierzytelniania.

Oryginalny opis (angielski, źródło NVD)

Rsync version 3.4.2 and prior contain an authorization bypass vulnerability in the rsync daemon's hostname-based access control list enforcement when configured with chroot. Attackers can bypass hostname-based deny rules by controlling the PTR record for their source IP address, allowing connections from hostnames that administrators intended to deny when reverse DNS resolution fails and defaults to UNKNOWN.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS