发布日期：2019-07-10
更新日期：2019-07-10

受影响系统：

Cloud Foundry CAPI 1.77
Cloud Foundry CAPI 1.76
Cloud Foundry CAPI 1.75
Cloud Foundry CAPI 1.74
Cloud Foundry CAPI 1.73
Cloud Foundry CAPI 1.72
Cloud Foundry CAPI 1.71
Cloud Foundry CAPI 1.70

不受影响系统：

Cloud Foundry CAPI 1.78

描述：

---

BUGTRAQ  ID: 107514
CVE(CAN) ID: CVE-2019-3785

Cloud Foundry是美国Pivotal Software公司开发的一个开源的多云应用程序平台，Cloud Controller是其中的一款云控制器，提供REST API端点功能，可用于创建和管理应用程序、服务、用户角色等。
Cloud Foundry Cloud Controller 1.78.0之前的版本中存在安全绕过漏洞，该漏洞源于该类版本包含不合理授权的端点。具备读取权限且通过验证的远程恶意攻击者可利用该漏洞通过请求包信息，获取已签名的bit-service URL，从而获得bit-service的写入权限。

<*来源：Pivotal Software
  
  链接：https://www.cloudfoundry.org/blog/cve-2019-3785/
*>

建议：

---

厂商补丁：

Cloud Foundry
-------------
Cloud Foundry已经为此发布了一个安全公告（CVE-2019-3785）以及相应补丁:
CVE-2019-3785：Cloud Controller provides signed URL with write authorization to read only user
链接：https://www.cloudfoundry.org/blog/cve-2019-3785/

补丁下载：

浏览次数：1147
严重程度：0（网友投票）