PT-2020-10356 · Determine · Determine Contract Lifecycle Management
Esteban Rodriguez
·
Publicado
2020-01-05
·
Atualizado
2021-07-21
·
CVE-2019-20155
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Determine Contract Lifecycle Management (CLM) versão 5.4
Descrição
Uma falha no arquivo report edit.jsp permite que qualquer usuário autenticado execute código Groovy ao gerar um relatório. Isso resulta na execução de código arbitrário no servidor subjacente.
Recomendações
Para a versão 5.4, considere restringir o acesso à página report edit.jsp até que uma correção esteja disponível e evite gerar relatórios a partir de fontes não confiáveis para minimizar o risco de exploração.
Exploit
Correção
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Determine Contract Lifecycle Management