H4Kneto

#9577de 53,632
28.9CVSS total
Vulnerabilidades · 3
Alta
1
Crítica
2
PT-2020-20678
9.8
2020-02-28
Eyesofnetwork · Eyesofnetwork Eonweb · CVE-2020-9465
**Nome do software vulnerável e versões afetadas** EyesOfNetwork eonweb, versões 5.1 a 5.3 anteriores à 5.3-3 **Descrição** Foi detectada uma falha na interface web do eonweb, que está sujeita a uma injeção de SQL. Isso permite que um invasor não autenticado execute várias tarefas, como contornar a autenticação por meio do campo `user id` em um cookie. **Recomendações** Para as versões 5.1 a 5.3 do EyesOfNetwork eonweb anteriores à 5.3-3, atualize para a versão 5.3-3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à interface web do eonweb para minimizar o risco de exploração. Evite usar o campo `user id` em cookies até que o problema seja resolvido.
PT-2020-20253
9.8
2020-02-06
Eyesofnetwork · Eyesofnetwork Api · CVE-2020-8656
**Nome do software vulnerável e versões afetadas** EyesOfNetwork versão 5.3 EyesOfNetwork API versão 2.4.2 **Descrição** Foi identificada uma falha que permite que um invasor não autenticado execute várias tarefas, incluindo a contornar a autenticação por meio do campo `username`. Isso se deve a uma injeção de SQL na API. **Recomendações** Para o EyesOfNetwork versão 5.3, atualize a API do EyesOfNetwork para uma versão que não seja suscetível a injeção de SQL. Para a API do EyesOfNetwork versão 2.4.2, considere desativar a função `getApiKey` no arquivo include/api functions.php até que um patch esteja disponível. Restrinja o acesso ao campo `username` para minimizar o risco de exploração.
PT-2020-6506
9.3
2020-02-05
Unknown · Eyesofnetwork · CVE-2020-8655
**Nome do software vulnerável e versões afetadas** EyesOfNetwork versão 5.3 **Descrição** O problema está relacionado a um controle de acesso insuficiente no componente /etc/sudoers da ferramenta de monitoramento de rede e sistema EyesOfNetwork (EON). Isso pode ser explorado para escalar privilégios, permitindo que um invasor execute comandos arbitrários como root usando scripts NSE criados especificamente para o nmap. **Recomendações** Para o EyesOfNetwork versão 5.3, considere restringir o acesso à configuração do sudoers e limitar a capacidade de executar comandos arbitrários como root até que um patch esteja disponível. Como solução temporária, restrinja o uso de scripts NSE para minimizar o risco de exploração.