Plattform
go
Komponente
github.com/juju/juju
Behoben in
3.6.20
4.0.4
0.0.1
CVE-2026-4370 is a critical vulnerability affecting Juju controllers since version 3.2.0. It allows an attacker with network route access to the Juju controller's Dqlite cluster endpoint to join the cluster, potentially gaining complete control over the system. The vulnerability stems from insufficient certificate validation, enabling privilege escalation and modification of critical data. Upgrade to version 4.0.4 to resolve this issue.
CVE-2026-4370 betrifft Juju-Controller ab Version 3.2.0. Die Schwachstelle ermöglicht es einem Angreifer mit Routing-Fähigkeit zum Dqlite-Cluster-Endpoint des Ziel-Juju-Controllers, dem Cluster beizutreten, alle Informationen zu lesen und zu ändern. Dies umfasst die Eskalation von Privilegien, das Öffnen von Firewall-Ports und die Manipulation der Systemkonfiguration. Die Schwere dieser Schwachstelle wird mit CVSS 10.0 bewertet, was ein kritisches Risiko anzeigt. Das Fehlen der Client-Zertifikatsüberprüfung und die Nichtüberprüfung des Server-Zertifikats durch den Client öffnen die Tür für Man-in-the-Middle (MITM)-Angriffe, bei denen ein Angreifer die Kommunikation zwischen Client und Server abfangen und verändern kann, wodurch die Integrität und Vertraulichkeit der Daten gefährdet werden.
Ein Angreifer, der den Datenverkehr zum Dqlite-Cluster-Endpoint des Juju-Controllers weiterleiten kann, kann diese Schwachstelle ausnutzen. Dies könnte durch falsch konfigurierte Netzwerkeinstellungen, ein unsicheres Netzwerk oder einen MITM-Angriff erreicht werden. Sobald der Angreifer sich innerhalb des Clusters befindet, hat er die vollständige Kontrolle über die Daten und die Konfiguration, was zu einer Dienstunterbrechung, Datenverlust oder einem Kompromittierung der zugrunde liegenden Infrastruktur führen kann. Die einfache Ausnutzbarkeit in Kombination mit dem potenziellen Schaden macht diese Schwachstelle zu einer erheblichen Bedrohung für Juju-Benutzer.
Organizations utilizing Juju for application deployment and management are at risk, particularly those running vulnerable versions (≤0.0.0-20260401092550-1c1ac1922b57). Environments with limited network segmentation or exposed Juju controller endpoints are especially vulnerable. Shared hosting environments where multiple users share a Juju controller instance are also at increased risk.
• linux / server:
journalctl -u juju-controller -g "Dqlite cluster connection"• linux / server:
ps aux | grep -i dqlite• generic web:
curl -I <juju_controller_dqlite_endpoint>• generic web:
grep -r "client certificate validation" /opt/juju/bin/*disclosure
poc
patch
Exploit-Status
EPSS
0.07% (22% Perzentil)
CISA SSVC
CVSS-Vektor
Die primäre Abhilfemaßnahme für CVE-2026-4370 ist ein Upgrade auf Juju-Version 4.0.4 oder höher. Diese Version enthält die notwendigen Korrekturen, um sowohl Client- als auch Server-Zertifikate zu validieren, wodurch unbefugtes Beitritt zum Dqlite-Cluster und MITM-Angriffe verhindert werden. Es wird empfohlen, dieses Update so schnell wie möglich anzuwenden, um Juju-Umgebungen zu schützen. Darüber hinaus sollten Sie die Netzwerk-Sicherheitsrichtlinien überprüfen und verstärken, um den Zugriff auf den Dqlite-Cluster-Endpoint auf vertrauenswürdige Quellen zu beschränken. Die Überwachung der Juju-Controller-Protokolle auf verdächtige Aktivitäten wird ebenfalls empfohlen.
Actualice Juju a la versión 3.6.20 o superior, o a la versión 4.0.4 o superior para mitigar la vulnerabilidad. La actualización corrige la falta de validación de certificados TLS, previniendo que atacantes no autenticados se unan al clúster de la base de datos Dqlite.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Dqlite ist eine eingebettete Datenbank, die von Juju verwendet wird, um den Controller-Status und Anwendungsdaten zu speichern.
CVSS 10.0 ist die höchste Punktzahl auf der CVSS-Skala und weist auf eine kritische Schwachstelle mit sehr hoher Auswirkung und Ausnutzbarkeit hin.
Wenn Sie nicht sofort aktualisieren können, beschränken Sie den Zugriff auf den Dqlite-Cluster-Endpoint und überwachen Sie die Protokolle auf verdächtige Aktivitäten.
Derzeit gibt es keine speziellen Tools, um diese Schwachstelle zu erkennen. Der beste Weg, um festzustellen, ob Sie anfällig sind, besteht darin, die von Ihnen verwendete Juju-Version zu überprüfen.
Weitere Informationen zu CVE-2026-4370 finden Sie im Juju GitHub-Repository: https://github.com/juju/juju/blob/001318f51ac456602aef20b123684f1eeeae9a77/internal/
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine go.mod-Datei hoch und wir sagen dir sofort, ob du betroffen bist.