发布日期：2019-07-22
更新日期：2019-07-22

受影响系统：

Cloud Foundry CredHub CLI 2.2
Cloud Foundry CredHub CLI 2.1
Cloud Foundry CredHub CLI 2.0.1
Cloud Foundry CredHub CLI 2.0
Cloud Foundry CredHub CLI 1.7.7
Cloud Foundry CredHub CLI 1.7.6
Cloud Foundry CredHub CLI 1.7.5
Cloud Foundry CredHub CLI 1.7.4

不受影响系统：

Cloud Foundry CredHub CLI 2.2.1

描述：

---

BUGTRAQ  ID: 107038
CVE(CAN) ID: CVE-2019-3782

Cloud Foundry CredHub CLI是美国Cloud Foundry基金会的一款与CredHub服务器进行交互的命令行界面。
Cloud Foundry CredHub CLI 2.2.1之前的版本中存在任意文件写入漏洞，该漏洞源于无意将通过环境变量提供的身份验证凭据写入了其持久性配置文件中。具备CredHub CLI配置文件访问权限的经过验证的本地恶意攻击者可利用该漏洞借助这些凭据检索和修改CredHub中的存储的且已授权给目标用户的凭证。

<*来源：CredHub Team
  
  链接：https://www.cloudfoundry.org/blog/cve-2019-3782/
*>

建议：

---

厂商补丁：

Cloud Foundry
-------------
Cloud Foundry已经为此发布了一个安全公告（CVE-2019-3782）以及相应补丁:
CVE-2019-3782：CVE-2019-3782: CredHub CLI writes environment variable credentials to disk
链接：https://www.cloudfoundry.org/blog/cve-2019-3782/

补丁下载：

浏览次数：1248
严重程度：0（网友投票）