प्लेटफ़ॉर्म
go
घटक
github.com/juju/juju
में ठीक किया गया
2.9.57
3.6.21
0.0.0-20260408003526-d395054dc2c3
CVE-2026-5412 Juju के कंट्रोलर फ़साड में एक प्रमाणीकरण भेद्यता है। संस्करण 2.9.0 से 3.6.21 तक के संस्करणों में, एक प्रमाणित उपयोगकर्ता CloudSpec API विधि को कॉल करके क्लाउड क्रेडेंशियल्स निकाल सकता है जिनका उपयोग कंट्रोलर को बूटस्ट्रैप करने के लिए किया जाता है। इस समस्या का समाधान Juju संस्करण 2.9.57 और 3.6.21 में किया गया है।
Juju में CVE-2026-5412 एक उपयोगकर्ता को कंट्रोलर पर लॉगिन अनुमति के साथ, और कंट्रोलर मॉडल UUID को जानने की स्थिति में, कंट्रोलर को बूटस्ट्रैप करने के लिए उपयोग किए गए क्लाउड क्रेडेंशियल्स को पुनः प्राप्त करने की अनुमति देता है। यह कंट्रोलर फ़ेसड पर CloudSpec विधि को कॉल करके प्राप्त किया जाता है। हालांकि CloudSpec API आमतौर पर क्लाउड से कनेक्शन बनाए रखने के लिए कंट्रोलर पर चलने वाले वर्कर्स द्वारा कॉल किया जाता है, लेकिन समस्या तब उत्पन्न होती है जब इसे CLI द्वारा juju kill-controller कमांड के साथ कंट्रोलर को नष्ट (बलपूर्वक हटाना) करते समय कॉल किया जाता है। इन क्रेडेंशियल्स का एक्सपोजर एक हमलावर को कंट्रोलर के अंतर्निहित बुनियादी ढांचे को समझौता करने की अनुमति दे सकता है, संभावित रूप से संवेदनशील डेटा तक पहुंच प्राप्त कर सकता है या क्लाउड संसाधनों पर नियंत्रण प्राप्त कर सकता है।
Juju कंट्रोलर तक लॉगिन एक्सेस और कंट्रोलर मॉडल UUID के ज्ञान के साथ एक हमलावर juju kill-controller कमांड को निष्पादित करके इस भेद्यता का फायदा उठा सकता है। यह कमांड, कंट्रोलर को नष्ट करने के लिए डिज़ाइन किया गया है, अनजाने में CloudSpec विधि को कॉल करता है, क्लाउड क्रेडेंशियल्स को उजागर करता है। इस कमांड को निष्पादित करने में आसानी, भेद्यता की उच्च गंभीरता (CVSS 9.9) के साथ मिलकर, इसे एक महत्वपूर्ण जोखिम बनाता है। मॉडल के UUID को जानने की आवश्यकता पहले से ही कंट्रोलर तक पहुंच रखने वाले हमलावर के लिए एक अपेक्षाकृत कम बाधा है।
Organizations utilizing Juju for cloud orchestration are at risk, particularly those with less stringent access controls and those who routinely use the juju kill-controller command. Shared hosting environments where multiple users share a single Juju controller instance are also at increased risk, as a compromised user account could potentially expose cloud credentials for all tenants.
• linux / server:
journalctl -u juju -g "CloudSpec API"• generic web:
curl -I http://<juju_controller_ip>/cloudspecCheck the response headers for any unauthorized access attempts or unusual activity. • generic web:
grep -r "CloudSpec API" /var/log/nginx/access.logLook for requests to the CloudSpec API from unexpected IP addresses or user agents.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (12% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-5412 के लिए समाधान Juju को संस्करण 0.0.0-20260408003526-d395054dc2c3 या उच्चतर में अपग्रेड करना है। यह संस्करण CloudSpec विधि तक पहुंच को प्रतिबंधित करके भेद्यता को ठीक करता है, यह सुनिश्चित करता है कि केवल अधिकृत प्रक्रियाएं ही क्लाउड क्रेडेंशियल्स तक पहुंच सकें। क्रेडेंशियल्स के एक्सपोजर के जोखिम को कम करने के लिए इस अपग्रेड को जल्द से जल्द लागू करने की सिफारिश की जाती है। इसके अतिरिक्त, उपयोगकर्ता अनुमतियों की समीक्षा करें और सुनिश्चित करें कि केवल अधिकृत उपयोगकर्ताओं के पास Juju कंट्रोलर तक पहुंच है।
Actualice Juju a la versión 2.9.57 o superior, o a la versión 3.6.21 o superior. Esto corrige la vulnerabilidad de autorización que permite a usuarios no autorizados acceder a credenciales sensibles utilizadas para el bootstrapping del controlador.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
Juju Canonical का एक कंटेनर ऑर्केस्ट्रेशन टूल है जो क्लाउड में एप्लिकेशन के परिनियोजन और प्रबंधन को सरल बनाता है।
यह भेद्यता क्लाउड क्रेडेंशियल्स के एक्सपोजर की अनुमति देती है, जिससे गंभीर सुरक्षा उल्लंघन और संभावित बुनियादी ढांचे का अधिग्रहण हो सकता है।
आप जिस Juju संस्करण का उपयोग कर रहे हैं, उसे जांचें। यदि यह 0.0.0-20260408003526-d395054dc2c3 से पहले का है, तो आप प्रभावित हैं।
यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो Juju कंट्रोलर तक पहुंच को अधिकृत उपयोगकर्ताओं तक सीमित करें और संदिग्ध गतिविधि की निगरानी करें।
वर्तमान में इस भेद्यता का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है, लेकिन नियमित सुरक्षा ऑडिट की सिफारिश की जाती है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।