CRITICAL🇬🇧 English

CVE-2023-49934

SQL Injection w SchedMD Slurm 23.11.x przeciwko bazie SlurmDBD

CVSS 9.8v3.1pub. 2023-12-14upd. 2025-11-04

W systemie kolejkowania zadań SchedMD Slurm w wersji 23.11.x wykryto podatność typu SQL Injection wymierzoną w bazę danych SlurmDBD. Podatność uzyskała ocenę CVSS 9.8 (CRITICAL), co oznacza możliwość zdalnego przejęcia kontroli nad bazą danych bez konieczności uwierzytelnienia.

Pokaż oryginał (EN)

An issue was discovered in SchedMD Slurm 23.11.x. There is SQL Injection against the SlurmDBD database. The fixed version is 23.11.1.

🤖 Analiza AI
Jak działa

Atakujący może spreparować złośliwe zapytanie zawierające nieoczyszczony kod SQL, które zostanie przekazane do bazy danych SlurmDBD bez odpowiedniej walidacji lub parametryzacji. Ze względu na brak wymagań dotyczących uwierzytelnienia, sieci lokalnej czy interakcji użytkownika (wektor AV:N/AC:L/PR:N/UI:N), exploit może zostać przeprowadzony zdalnie przez dowolnego atakującego mającego dostęp sieciowy do usługi.

Skutki

Skuteczne wykorzystanie podatności może prowadzić do nieautoryzowanego odczytu, modyfikacji lub usunięcia danych w bazie SlurmDBD, a w zależności od konfiguracji serwera bazodanowego — również do przejęcia kontroli nad całym systemem zarządzania zadaniami HPC.

Mitygacja

Należy zaktualizować SchedMD Slurm do wersji 23.11.1, która zawiera poprawkę eliminującą podatność. Aktualizacje dostępne są również w repozytoriach dystrybucji Fedora.

Kogo dotyczy

SchedMD Slurm w wersjach z gałęzi 23.11.x (przed 23.11.1).

Uwagi

Podatność dotyczy komponentu SlurmDBD odpowiedzialnego za rejestrowanie zadań i rozliczenia w środowiskach HPC. Poprawiona wersja to 23.11.1, zgodnie z oficjalnym ogłoszeniem producenta.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Schedmd Slurm

    APP
    Schedmd
    23.11
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2023-49937CRITICAL9.8PL ✓ten sam produkt

Double free w SchedMD Slurm umożliwia RCE lub DoS

CVE-2022-29502CRITICAL9.8ten sam produkt

SchedMD Slurm 21.08.x through 20.11.x has Incorrect Access Control that leads to Escalation of Privileges.

CVE-2020-27745CRITICAL9.8ten sam produkt

Slurm before 19.05.8 and 20.x before 20.02.6 has an RPC Buffer Overflow in the PMIx MPI plugin.

CVE-2019-12838CRITICAL9.8ten sam produkt

SchedMD Slurm 17.11.x, 18.08.0 through 18.08.7, and 19.05.0 allows SQL Injection.

CVE-2019-6438CRITICAL9.8ten sam produkt

SchedMD Slurm before 17.11.13 and 18.x before 18.08.5 mishandles 32-bit systems.