CVE-2025-10360 (CNNVD-202509-3858)

MEDIUM
中文标题:
Puppet Enterprise Administration Module(PEADM) 安全漏洞
英文标题:
Insufficiently Protected Credentials in Puppet Enterprise 2025.4 and 2025.5
CVSS分数: 6.9
发布时间: 2025-09-24 15:49:47
漏洞类型: 其他
状态: PUBLISHED
数据质量分数: 0.30
数据版本: v3
漏洞描述
中文描述:

Puppet Enterprise Administration Module(PEADM)是Puppet开源的一个定义 Bolt 计划的 Puppet 模块。用于自动化 Puppet Enterprise 部署。 Puppet Enterprise Administration Module(PEADM) 2025.4.0版本和2025.5版本存在安全漏洞,该漏洞源于Infra Assistant数据库的加密密钥未被排除在Puppet备份文件之外,可能导致AI提供商账户API密钥泄露。

英文描述:

In Puppet Enterprise versions 2025.4.0 and 2025.5, the encryption key used for encrypting content in the Infra Assistant database was not excluded from the files gathered by Puppet backup. The key is only present on the system if the user has a Puppet Enterprise Advanced license and has enabled the Infra Assistant feature. The key is used for encrypting one particular bit of data in the Infra Assistant database: the API key for their AI provider account. This has been fixed in Puppet Enterprise version 2025.6, and release notes for 2025.6 have remediation steps for users of affected versions who can't update to the latest version.

CWE类型:
CWE-522
标签:
(暂无数据)
受影响产品
厂商 产品 版本 版本范围 平台 CPE
Perforce Puppet Enterprise - ≤ 2025.5 - cpe:2.3:a:perforce:puppet_enterprise:*:*:*:*:*:*:*:*
解决方案
中文解决方案:
(暂无数据)
英文解决方案:
(暂无数据)
临时解决方案:
(暂无数据)
参考链接
无标题 OTHER
cve.org
访问
CVSS评分详情
4.0 (cna)
MEDIUM
6.9
CVSS向量: CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:N/VA:N/SC:L/SI:L/SA:N
机密性
HIGH
完整性
NONE
可用性
NONE
后续系统影响 (Subsequent):
机密性
LOW
完整性
LOW
可用性
NONE
时间信息
发布时间:
2025-09-24 15:49:47
修改时间:
2025-09-24 16:12:48
创建时间:
2025-11-11 15:40:03
更新时间:
2025-11-11 16:00:13
利用信息
暂无可利用代码信息
数据源详情
数据源 记录ID 版本 提取时间
CVE cve_CVE-2025-10360 2025-11-11 15:23:01 2025-11-11 07:40:03
NVD nvd_CVE-2025-10360 2025-11-11 15:01:03 2025-11-11 07:47:55
CNNVD cnnvd_CNNVD-202509-3858 2025-11-11 15:12:58 2025-11-11 08:00:13
版本与语言
当前版本: v3
主要语言: EN
支持语言:
EN ZH
安全公告
暂无安全公告信息
变更历史
v3 CNNVD
2025-11-11 16:00:13
vulnerability_type: 未提取 → 其他; cnnvd_id: 未提取 → CNNVD-202509-3858; data_sources: ['cve', 'nvd'] → ['cnnvd', 'cve', 'nvd']
查看详细变更
  • vulnerability_type: 未提取 -> 其他
  • cnnvd_id: 未提取 -> CNNVD-202509-3858
  • data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
v2 NVD
2025-11-11 15:47:55
data_sources: ['cve'] → ['cve', 'nvd']
查看详细变更
  • data_sources: ['cve'] -> ['cve', 'nvd']