PT-2020-10313 · Selesta · Selesta Visual Access Manager

Publicado

2020-02-26

Atualizado

2020-02-27

CVE-2019-19994

CVSS v2.0

Crítica

Vetor

AV:N/AC:L/Au:N/C:C/I:C/A:C

Nome do software vulnerável e versões afetadas

Selesta Visual Access Manager (VAM), versões 4.15.0 a 4.29

Descrição

Uma falha no Selesta Visual Access Manager permite a injeção de comando cega, possibilitando que um invasor, sem autenticação, execute comandos arbitrários do sistema operacional. Isso é feito através da injeção de um parâmetro vulnerável na página Web PHP /common/vam monitor sap.php.

Recomendações

Para as versões 4.15.0 a 4.29, considere restringir o acesso ao endpoint /common/vam monitor sap.php até que uma correção esteja disponível e evite usar o parâmetro vulnerável para minimizar o risco de exploração.

Exploit

Correção

OS Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-78

Identificadores relacionados

CVE-2019-19994

Produtos afetados

Selesta Visual Access Manager

PT-2020-10313 · Selesta · Selesta Visual Access Manager

CVE-2019-19994

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 5