PT-2020-10322 · Nec · Sv9100+4
Publicado
2020-07-29
·
Atualizado
2021-07-21
·
CVE-2019-20029
CVSS v2.0
6.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:P |
Nome do software vulnerável e versões afetadas
Versões dos PBXs NEC derivados do Aspire (versões afetadas não especificadas)
Versões do SV8100 (versões afetadas não especificadas)
Versões do SV9100 (versões afetadas não especificadas)
Versões do SL1100 (versões afetadas não especificadas)
Versões do SL2100 (versões afetadas não especificadas)
Descrição
Existe uma vulnerabilidade de escalonamento de privilégios na funcionalidade WebPro, permitindo que uma solicitação HTTP POST especialmente criada cause o escalonamento para uma conta com privilégios superiores, incluindo um nível de acesso de desenvolvedor não documentado.
Recomendações
Para os PBXs NEC derivados do Aspire, considere restringir o acesso à funcionalidade WebPro até que uma correção esteja disponível.
Para dispositivos SV8100, SV9100, SL1100 e SL2100, evite usar a funcionalidade WebPro com entradas não confiáveis até que o problema seja resolvido.
Como solução alternativa temporária, considere desativar a funcionalidade WebPro para minimizar o risco de exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Aspire-Derived Nec Pbxes
Sl1100
Sl2100
Sv8100
Sv9100