CVE & CISA-KEV Catalog

CVE-2025-9572

MEDIUM
5.0
CVSS v3
NVD

Description

n authorization flaw in Foreman's GraphQL API allows low-privileged users to access metadata beyond their assigned permissions. Unlike the REST API, which correctly enforces access controls, the GraphQL endpoint does not apply proper filtering, leading to an authorization bypass.

How to fix

Remediation Available
foremanRocky
Fixed in:0:3.9.1.14-1.el8satRHSA-2025:21897
Fixed in:0:3.9.1.14-1.el8satRHSA-2025:21897
Fixed in:0:3.12.0.12-1.el8satRHSA-2025:21894
Fixed in:0:3.12.0.12-1.el8satRHSA-2025:21894
Fixed in:0:3.16.0.7-1.el9satRHSA-2025:21886
Fixed in:0:3.12.0.12-1.el9satRHSA-2025:21894
Fixed in:0:3.14.0.11-1.el9satRHSA-2025:21893
Fixed in:0:3.14.0.11-1.el9satRHSA-2025:21893
Fixed in:0:3.16.0.7-1.el9satRHSA-2025:21886
Fixed in:0:3.12.0.12-1.el9satRHSA-2025:21894
foremanRed Hat / RHEL
Fixed in:0:3.9.1.14-1.el8satRHSA-2025:21897
Fixed in:0:3.9.1.14-1.el8satRHSA-2025:21897
Fixed in:0:3.12.0.12-1.el8satRHSA-2025:21894
Fixed in:0:3.12.0.12-1.el8satRHSA-2025:21894
Fixed in:0:3.14.0.11-1.el9satRHSA-2025:21893
Fixed in:0:3.14.0.11-1.el9satRHSA-2025:21893
Fixed in:0:3.12.0.12-1.el9satRHSA-2025:21894
Fixed in:0:3.12.0.12-1.el9satRHSA-2025:21894
Fixed in:0:3.16.0.7-1.el9satRHSA-2025:21886
Fixed in:0:3.16.0.7-1.el9satRHSA-2025:21886
foreman-cliRocky
Fixed in:0:3.9.1.14-1.el8satRHSA-2025:21897
Fixed in:0:3.12.0.12-1.el8satRHSA-2025:21894
Fixed in:0:3.16.0.7-1.el9satRHSA-2025:21886
Fixed in:0:3.12.0.12-1.el9satRHSA-2025:21894
Fixed in:0:3.14.0.11-1.el9satRHSA-2025:21893
foreman-cliRed Hat / RHEL
Fixed in:0:3.9.1.14-1.el8satRHSA-2025:21897
Fixed in:0:3.12.0.12-1.el8satRHSA-2025:21894
Fixed in:0:3.16.0.7-1.el9satRHSA-2025:21886
Fixed in:0:3.12.0.12-1.el9satRHSA-2025:21894
Fixed in:0:3.14.0.11-1.el9satRHSA-2025:21893
foreman-debugRocky
Fixed in:0:3.9.1.14-1.el8satRHSA-2025:21897
Fixed in:0:3.12.0.12-1.el8satRHSA-2025:21894
Fixed in:0:3.16.0.7-1.el9satRHSA-2025:21886
Fixed in:0:3.14.0.11-1.el9satRHSA-2025:21893
Fixed in:0:3.12.0.12-1.el9satRHSA-2025:21894
foreman-debugRed Hat / RHEL
Fixed in:0:3.9.1.14-1.el8satRHSA-2025:21897
Fixed in:0:3.12.0.12-1.el8satRHSA-2025:21894
Fixed in:0:3.14.0.11-1.el9satRHSA-2025:21893
Fixed in:0:3.12.0.12-1.el9satRHSA-2025:21894
Fixed in:0:3.16.0.7-1.el9satRHSA-2025:21886
foreman-dynflow-sidekiqRocky
Fixed in:0:3.9.1.14-1.el8satRHSA-2025:21897
Fixed in:0:3.12.0.12-1.el8satRHSA-2025:21894
Fixed in:0:3.16.0.7-1.el9satRHSA-2025:21886
Fixed in:0:3.14.0.11-1.el9satRHSA-2025:21893
Fixed in:0:3.12.0.12-1.el9satRHSA-2025:21894
foreman-dynflow-sidekiqRed Hat / RHEL
Fixed in:0:3.9.1.14-1.el8satRHSA-2025:21897
Fixed in:0:3.12.0.12-1.el8satRHSA-2025:21894
Fixed in:0:3.16.0.7-1.el9satRHSA-2025:21886
Fixed in:0:3.12.0.12-1.el9satRHSA-2025:21894
Fixed in:0:3.14.0.11-1.el9satRHSA-2025:21893
foreman-ec2Red Hat / RHEL
Fixed in:0:3.12.0.12-1.el8satRHSA-2025:21894
Fixed in:0:3.9.1.14-1.el8satRHSA-2025:21897
Fixed in:0:3.16.0.7-1.el9satRHSA-2025:21886
Fixed in:0:3.14.0.11-1.el9satRHSA-2025:21893
Fixed in:0:3.12.0.12-1.el9satRHSA-2025:21894
foreman-ec2Rocky
Fixed in:0:3.9.1.14-1.el8satRHSA-2025:21897
Fixed in:0:3.12.0.12-1.el8satRHSA-2025:21894
Fixed in:0:3.14.0.11-1.el9satRHSA-2025:21893
Fixed in:0:3.12.0.12-1.el9satRHSA-2025:21894
Fixed in:0:3.16.0.7-1.el9satRHSA-2025:21886
foreman-journaldRed Hat / RHEL
Fixed in:0:3.9.1.14-1.el8satRHSA-2025:21897
Fixed in:0:3.12.0.12-1.el8satRHSA-2025:21894
Fixed in:0:3.16.0.7-1.el9satRHSA-2025:21886
Fixed in:0:3.14.0.11-1.el9satRHSA-2025:21893
Fixed in:0:3.12.0.12-1.el9satRHSA-2025:21894
foreman-journaldRocky
Fixed in:0:3.12.0.12-1.el8satRHSA-2025:21894
Fixed in:0:3.9.1.14-1.el8satRHSA-2025:21897
Fixed in:0:3.12.0.12-1.el9satRHSA-2025:21894
Fixed in:0:3.16.0.7-1.el9satRHSA-2025:21886
Fixed in:0:3.14.0.11-1.el9satRHSA-2025:21893
foreman-libvirtRed Hat / RHEL
Fixed in:0:3.12.0.12-1.el8satRHSA-2025:21894
Fixed in:0:3.9.1.14-1.el8satRHSA-2025:21897
Fixed in:0:3.12.0.12-1.el9satRHSA-2025:21894
Fixed in:0:3.14.0.11-1.el9satRHSA-2025:21893
Fixed in:0:3.16.0.7-1.el9satRHSA-2025:21886
foreman-libvirtRocky
Fixed in:0:3.9.1.14-1.el8satRHSA-2025:21897
Fixed in:0:3.12.0.12-1.el8satRHSA-2025:21894
Fixed in:0:3.12.0.12-1.el9satRHSA-2025:21894
Fixed in:0:3.16.0.7-1.el9satRHSA-2025:21886
Fixed in:0:3.14.0.11-1.el9satRHSA-2025:21893
foreman-openstackRocky
Fixed in:0:3.9.1.14-1.el8satRHSA-2025:21897
Fixed in:0:3.12.0.12-1.el8satRHSA-2025:21894
Fixed in:0:3.14.0.11-1.el9satRHSA-2025:21893
Fixed in:0:3.16.0.7-1.el9satRHSA-2025:21886
Fixed in:0:3.12.0.12-1.el9satRHSA-2025:21894
foreman-openstackRed Hat / RHEL
Fixed in:0:3.9.1.14-1.el8satRHSA-2025:21897
Fixed in:0:3.12.0.12-1.el8satRHSA-2025:21894
Fixed in:0:3.14.0.11-1.el9satRHSA-2025:21893
Fixed in:0:3.16.0.7-1.el9satRHSA-2025:21886
Fixed in:0:3.12.0.12-1.el9satRHSA-2025:21894
foreman-ovirtRed Hat / RHEL
Fixed in:0:3.12.0.12-1.el8satRHSA-2025:21894
Fixed in:0:3.9.1.14-1.el8satRHSA-2025:21897
Fixed in:0:3.14.0.11-1.el9satRHSA-2025:21893
Fixed in:0:3.12.0.12-1.el9satRHSA-2025:21894
foreman-ovirtRocky
Fixed in:0:3.9.1.14-1.el8satRHSA-2025:21897
Fixed in:0:3.12.0.12-1.el8satRHSA-2025:21894
Fixed in:0:3.12.0.12-1.el9satRHSA-2025:21894
Fixed in:0:3.14.0.11-1.el9satRHSA-2025:21893
foreman-pcpRed Hat / RHEL
Fixed in:0:3.9.1.14-1.el8satRHSA-2025:21897
Fixed in:0:3.12.0.12-1.el8satRHSA-2025:21894
Fixed in:0:3.16.0.7-1.el9satRHSA-2025:21886
Fixed in:0:3.12.0.12-1.el9satRHSA-2025:21894
Fixed in:0:3.14.0.11-1.el9satRHSA-2025:21893
foreman-pcpRocky
Fixed in:0:3.9.1.14-1.el8satRHSA-2025:21897
Fixed in:0:3.12.0.12-1.el8satRHSA-2025:21894
Fixed in:0:3.16.0.7-1.el9satRHSA-2025:21886
Fixed in:0:3.14.0.11-1.el9satRHSA-2025:21893
Fixed in:0:3.12.0.12-1.el9satRHSA-2025:21894
foreman-postgresqlRed Hat / RHEL
Fixed in:0:3.9.1.14-1.el8satRHSA-2025:21897
Fixed in:0:3.12.0.12-1.el8satRHSA-2025:21894
Fixed in:0:3.14.0.11-1.el9satRHSA-2025:21893
Fixed in:0:3.16.0.7-1.el9satRHSA-2025:21886
Fixed in:0:3.12.0.12-1.el9satRHSA-2025:21894
foreman-postgresqlRocky
Fixed in:0:3.12.0.12-1.el8satRHSA-2025:21894
Fixed in:0:3.9.1.14-1.el8satRHSA-2025:21897
Fixed in:0:3.14.0.11-1.el9satRHSA-2025:21893
Fixed in:0:3.12.0.12-1.el9satRHSA-2025:21894
Fixed in:0:3.16.0.7-1.el9satRHSA-2025:21886
foreman-redisRocky
Fixed in:0:3.9.1.14-1.el8satRHSA-2025:21897
Fixed in:0:3.12.0.12-1.el8satRHSA-2025:21894
Fixed in:0:3.12.0.12-1.el9satRHSA-2025:21894
Fixed in:0:3.14.0.11-1.el9satRHSA-2025:21893
Fixed in:0:3.16.0.7-1.el9satRHSA-2025:21886
foreman-redisRed Hat / RHEL
Fixed in:0:3.12.0.12-1.el8satRHSA-2025:21894
Fixed in:0:3.9.1.14-1.el8satRHSA-2025:21897
Fixed in:0:3.14.0.11-1.el9satRHSA-2025:21893
Fixed in:0:3.12.0.12-1.el9satRHSA-2025:21894
Fixed in:0:3.16.0.7-1.el9satRHSA-2025:21886
foreman-serviceRed Hat / RHEL
Fixed in:0:3.9.1.14-1.el8satRHSA-2025:21897
Fixed in:0:3.12.0.12-1.el8satRHSA-2025:21894
Fixed in:0:3.16.0.7-1.el9satRHSA-2025:21886
Fixed in:0:3.12.0.12-1.el9satRHSA-2025:21894
Fixed in:0:3.14.0.11-1.el9satRHSA-2025:21893
foreman-serviceRocky
Fixed in:0:3.9.1.14-1.el8satRHSA-2025:21897
Fixed in:0:3.12.0.12-1.el8satRHSA-2025:21894
Fixed in:0:3.16.0.7-1.el9satRHSA-2025:21886
Fixed in:0:3.14.0.11-1.el9satRHSA-2025:21893
Fixed in:0:3.12.0.12-1.el9satRHSA-2025:21894
foreman-telemetryRocky
Fixed in:0:3.12.0.12-1.el8satRHSA-2025:21894
Fixed in:0:3.9.1.14-1.el8satRHSA-2025:21897
Fixed in:0:3.12.0.12-1.el9satRHSA-2025:21894
Fixed in:0:3.16.0.7-1.el9satRHSA-2025:21886
Fixed in:0:3.14.0.11-1.el9satRHSA-2025:21893
foreman-telemetryRed Hat / RHEL
Fixed in:0:3.12.0.12-1.el8satRHSA-2025:21894
Fixed in:0:3.9.1.14-1.el8satRHSA-2025:21897
Fixed in:0:3.12.0.12-1.el9satRHSA-2025:21894
Fixed in:0:3.14.0.11-1.el9satRHSA-2025:21893
Fixed in:0:3.16.0.7-1.el9satRHSA-2025:21886
foreman-vmwareRed Hat / RHEL
Fixed in:0:3.9.1.14-1.el8satRHSA-2025:21897
Fixed in:0:3.12.0.12-1.el8satRHSA-2025:21894
Fixed in:0:3.14.0.11-1.el9satRHSA-2025:21893
Fixed in:0:3.16.0.7-1.el9satRHSA-2025:21886
Fixed in:0:3.12.0.12-1.el9satRHSA-2025:21894
foreman-vmwareRocky
Fixed in:0:3.9.1.14-1.el8satRHSA-2025:21897
Fixed in:0:3.12.0.12-1.el8satRHSA-2025:21894
Fixed in:0:3.16.0.7-1.el9satRHSA-2025:21886
Fixed in:0:3.14.0.11-1.el9satRHSA-2025:21893
Fixed in:0:3.12.0.12-1.el9satRHSA-2025:21894
rubygem-katelloRocky
Fixed in:0:4.18.0.4-1.el9satRHSA-2025:21886
Fixed in:0:4.18.0.4-1.el9satRHSA-2025:21886
Fixed in:0:4.16.0.11-1.el9satRHSA-2025:21893
Fixed in:0:4.16.0.11-1.el9satRHSA-2025:21893
rubygem-katelloRed Hat / RHEL
Fixed in:0:4.18.0.4-1.el9satRHSA-2025:21886
Fixed in:0:4.16.0.11-1.el9satRHSA-2025:21893
Fixed in:0:4.16.0.11-1.el9satRHSA-2025:21893
Fixed in:0:4.18.0.4-1.el9satRHSA-2025:21886
satelliteRed Hat / RHEL
Fixed in:0:6.16.5.6-1.el8satRHSA-2025:21894
Fixed in:0:6.15.5.7-1.el8satRHSA-2025:21897
Fixed in:0:6.15.5.7-1.el8satRHSA-2025:21897
Fixed in:0:6.16.5.6-1.el8satRHSA-2025:21894
Fixed in:0:6.16.5.6-1.el9satRHSA-2025:21894
Fixed in:0:6.18.1-1.el9satRHSA-2025:21886
Fixed in:0:6.16.5.6-1.el9satRHSA-2025:21894
Fixed in:0:6.17.6.1-1.el9satRHSA-2025:21893
Fixed in:0:6.17.6.1-1.el9satRHSA-2025:21893
Fixed in:0:6.18.1-1.el9satRHSA-2025:21886
satelliteRocky
Fixed in:0:6.15.5.7-1.el8satRHSA-2025:21897
Fixed in:0:6.15.5.7-1.el8satRHSA-2025:21897
Fixed in:0:6.16.5.6-1.el8satRHSA-2025:21894
Fixed in:0:6.16.5.6-1.el8satRHSA-2025:21894
Fixed in:0:6.17.6.1-1.el9satRHSA-2025:21893
Fixed in:0:6.18.1-1.el9satRHSA-2025:21886
Fixed in:0:6.18.1-1.el9satRHSA-2025:21886
Fixed in:0:6.16.5.6-1.el9satRHSA-2025:21894
Fixed in:0:6.17.6.1-1.el9satRHSA-2025:21893
Fixed in:0:6.16.5.6-1.el9satRHSA-2025:21894
satellite-capsuleRocky
Fixed in:0:6.15.5.7-1.el8satRHSA-2025:21897
Fixed in:0:6.16.5.6-1.el8satRHSA-2025:21894
Fixed in:0:6.16.5.6-1.el9satRHSA-2025:21894
Fixed in:0:6.18.1-1.el9satRHSA-2025:21886
Fixed in:0:6.17.6.1-1.el9satRHSA-2025:21893
satellite-capsuleRed Hat / RHEL
Fixed in:0:6.16.5.6-1.el8satRHSA-2025:21894
Fixed in:0:6.15.5.7-1.el8satRHSA-2025:21897
Fixed in:0:6.18.1-1.el9satRHSA-2025:21886
Fixed in:0:6.16.5.6-1.el9satRHSA-2025:21894
Fixed in:0:6.17.6.1-1.el9satRHSA-2025:21893
satellite-cliRocky
Fixed in:0:6.15.5.7-1.el8satRHSA-2025:21897
Fixed in:0:6.16.5.6-1.el8satRHSA-2025:21894
Fixed in:0:6.17.6.1-1.el9satRHSA-2025:21893
Fixed in:0:6.18.1-1.el9satRHSA-2025:21886
Fixed in:0:6.16.5.6-1.el9satRHSA-2025:21894
satellite-cliRed Hat / RHEL
Fixed in:0:6.16.5.6-1.el8satRHSA-2025:21894
Fixed in:0:6.15.5.7-1.el8satRHSA-2025:21897
Fixed in:0:6.17.6.1-1.el9satRHSA-2025:21893
Fixed in:0:6.16.5.6-1.el9satRHSA-2025:21894
Fixed in:0:6.18.1-1.el9satRHSA-2025:21886
satellite-commonRed Hat / RHEL
Fixed in:0:6.16.5.6-1.el8satRHSA-2025:21894
Fixed in:0:6.15.5.7-1.el8satRHSA-2025:21897
Fixed in:0:6.16.5.6-1.el9satRHSA-2025:21894
Fixed in:0:6.17.6.1-1.el9satRHSA-2025:21893
Fixed in:0:6.18.1-1.el9satRHSA-2025:21886
satellite-commonRocky
Fixed in:0:6.16.5.6-1.el8satRHSA-2025:21894
Fixed in:0:6.15.5.7-1.el8satRHSA-2025:21897
Fixed in:0:6.16.5.6-1.el9satRHSA-2025:21894
Fixed in:0:6.18.1-1.el9satRHSA-2025:21886
Fixed in:0:6.17.6.1-1.el9satRHSA-2025:21893
satellite-obsolete-packagesRocky
Fixed in:0:6.17.6.1-1.el9satRHSA-2025:21893
Fixed in:0:6.18.1-1.el9satRHSA-2025:21886
satellite-obsolete-packagesRed Hat / RHEL
Fixed in:0:6.17.6.1-1.el9satRHSA-2025:21893
Fixed in:0:6.18.1-1.el9satRHSA-2025:21886

Remediation is compiled from vendor and distribution security advisories. Always confirm against the linked source for your exact version and platform.

CVSS v3 Vector

Exploitability

Attack VectorNetwork
Attack ComplexityLow
Privileges RequiredLow
User InteractionNone
ScopeChanged

Impact

ConfidentialityLow
IntegrityNone
AvailabilityNone

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N

Exploit Intelligence

0.35%probability of exploitation in 30 days
27thpercentile

Low risk: more likely to be exploited than 27% of all known CVEs.

References

Related Vulnerabilities

Other CWE-863 (Incorrect Authorization) vulnerabilities, ordered by exploit likelihood. View all

CVESeverityCVSSEPSSExploitedFix
CVE-2023-22518Critical9.8100%KEV + RansomFix
CVE-2023-38035Critical9.8100%KEV + Ransom-
CVE-2022-46169Critical9.8100%KEVFix
CVE-2025-29927Critical9.1100%-Fix
CVE-2024-38856Critical9.899%KEVFix
CVE-2020-36289Medium5.399%-Fix
Embed a live status badge for CVE-2025-9572
CVE-2025-9572 severity badge

Markdown

[![CVE-2025-9572](https://tridentstack.com/cve/badge/CVE-2025-9572.svg)](https://tridentstack.com/cve/CVE-2025-9572)

HTML

<a href="https://tridentstack.com/cve/CVE-2025-9572"><img src="https://tridentstack.com/cve/badge/CVE-2025-9572.svg" alt="CVE-2025-9572"></a>

Find and fix vulnerabilities across your fleet

TridentStack Control continuously scans your Windows, macOS, and Linux fleet for known vulnerabilities, prioritizes them by severity and active exploitation, and patches them automatically.

Start free

This product uses NVD data but is not endorsed or certified by the NVD. EPSS scores courtesy of FIRST.org (https://www.first.org/epss). Source: CISA KEV Catalog. Data as of 2026-03-24.