PT-2020-10167 · Postgresql+1 · Postgresql+1
Ammarit Thongthua
+2
·
Publicado
2020-01-10
·
Atualizado
2023-02-01
·
CVE-2019-19475
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
ManageEngine Applications Manager versão 14 com compilação 14360
Descrição
Foi descoberta uma falha no componente PostgreSQL integrado ao ManageEngine Applications Manager, na qual a falta de segurança nas permissões de arquivo permite que usuários mal-intencionados do grupo “Usuários Autenticados” explorem a escalada de privilégios. Isso pode levar à modificação da configuração do PostgreSQL, possibilitando a execução de comandos arbitrários para obter acesso de usuário com privilégios totais e direitos sobre o sistema.
Recomendações
Para o ManageEngine Applications Manager versão 14 com Build 14360, considere restringir o acesso ao componente PostgreSQL integrado para impedir a exploração até que uma correção esteja disponível. Como solução alternativa temporária, revise e proteja as permissões de arquivo para impedir modificações não autorizadas na configuração do PostgreSQL.
Correção
Incorrect Default Permissions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zoho Manageengine Applications Manager
Postgresql