PT-2014-5017 · Unitrends · Unitrends Enterprise Backup

Brandon Perry

Publicado

2014-04-28

Atualizado

2017-08-29

CVE-2014-3008

CVSS v2.0

Alta

Vetor

AV:N/AC:L/Au:N/C:C/I:C/A:C

Name of the Vulnerable Software and Affected Versions Unitrends Enterprise Backup version 7.3.0

Description The issue allows remote authenticated users to execute arbitrary commands. This is achieved by using shell metacharacters in the comm parameter to the "/recoveryconsole/bpl/snmpd.php" API endpoint.

Recommendations For Unitrends Enterprise Backup version 7.3.0, consider restricting access to the "/recoveryconsole/bpl/snmpd.php" API endpoint until a patch is available. As a temporary workaround, avoid using the comm parameter in this endpoint to minimize the risk of exploitation.

Exploit

Correção

OS Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-78

Identificadores relacionados

CVE-2014-3008

Produtos afetados

Unitrends Enterprise Backup

PT-2014-5017 · Unitrends · Unitrends Enterprise Backup

CVE-2014-3008

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 8