PT-2020-11925 · Zammad · Zammad
Martin Von Wittich
·
Publicado
2020-03-05
·
Atualizado
2021-07-21
·
CVE-2020-10101
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões 3.0 a 3.2 do Zammad
Descrição
Foi detectada uma falha na qual o servidor WebSocket trava quando mensagens em formato diferente de JSON são enviadas por um invasor. O formato da mensagem não é verificado adequadamente e os erros de análise não são tratados, levando à falha do processo do serviço.
Recomendações
Para as versões 3.0 a 3.2 do Zammad, como solução temporária, considere desativar o servidor WebSocket até que um patch esteja disponível. Restrinja o acesso ao endpoint WebSocket para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Improper Handling of Exceptional Conditions
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Zammad