PT-2020-10217 · Maxum · Rumpus Ftp Server
Publicado
2020-02-10
·
Atualizado
2020-02-11
·
CVE-2019-19670
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Rumpus FTP Server versão 8.2.9.1
Descrição
Foi identificada uma vulnerabilidade de divisão de resposta HTTP (HTTP Response Splitting) no componente de configurações da Web do Gerenciador de Arquivos da Web. Isso pode ser explorado para causar um ataque XSS armazenado ou a desfiguração do site, manipulando o parâmetro ExtraHTTPHeader para RAPR/WebSettingsGeneralSet.html.
Recomendações
Para o Rumpus FTP Server versão 8.2.9.1, considere restringir o acesso ao componente de configurações da Web do Gerenciador de Arquivos da Web até que uma correção esteja disponível. Como solução alternativa temporária, evite usar o ExtraHTTPHeader para RAPR/WebSettingsGeneralSet.html para minimizar o risco de exploração.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Rumpus Ftp Server