温州市网络与信息安全信息通报中心关于SaltStack软件存在高危漏洞的预警通报

　　近期，我中心监测发现，服务器基础架构集中化管理软件SaltStack 存在认证绕过漏洞（CVE-2020-11651）和目录遍历漏洞（CVE-2020-11652）。攻击者可利用该认证绕过漏洞绕过 SaltStack验证逻辑，调用相关未授权函数，实现远程命令执行。同时，可构造恶意请求，利用该目录遍历漏洞，获取服务器文件。版本号低于2019.2.4和3000.2的SaltStack软件均受此漏洞影响。

　　鉴于该漏洞影响范围大，潜在危害性高，请大家务必重视，及时开展隐患排查，提高安全防范能力，建议采取以下措施：一是及时升级SaltStack 软件（地址：https://repo.salt