Terraform<1.5.7 任意文件写入漏洞
漏洞描述 Terraform 是一个开源的基础设施即代码(IAC)工具,允许用户使用声明性语言定义和配置基础设施资源,如虚拟机、存储、网络等。多数国内外云厂商的基础设施自动化都在使用Terraform。 Terraform 受影响版本中,由于在执行模块的初始化之前未对模块名进行校验,当 Terraform 执行初始化操作时,攻击者可通过构造恶意的模块名在任意位置写入文件,再通过其调用系统上其他可执行程序的逻辑,劫持对应内容,写入恶意的代码,即可达到任意命令执行。 当云厂商允许用户通过自定义 Terraform 语法配置和管理云上资产时会受到此漏洞影响,Terraform Cloud 和 Terraform Enterprise 不受影响。 漏洞名称 Terraform<1.5.7 任意文件写入漏洞 漏洞类型 路径遍历 发现时间 2023-09-15 漏洞影响广度 广 MPS编号 MPS-krc8-d4u9 CVE编号 CVE-2023-4782 CNVD编号 - 影响范围 github.com/hashicorp/terraform@[1.0.8, 1.5.7) 修复方案 将 g...
