PT-2020-11987 · Centos · Centos Web Panel
Berke Yilmaz
·
Publicado
2020-03-16
·
Atualizado
2023-01-24
·
CVE-2020-10230
CVSS v2.0
7.5
Alta
| Vetor | AV:N/AC:L/Au:N/C:P/I:P/A:P |
Nome do software vulnerável e versões afetadas
Versões do CentOS Web Panel para CentOS 6 e 7
Descrição
A vulnerabilidade permite a injeção de SQL por meio do endpoint da API “/cwp {SESSION HASH}/admin/loader ajax.php”, especificamente através do parâmetro
term. Isso permite que possíveis invasores injetem código SQL malicioso.Recomendações
Para as versões do CentOS Web Panel para CentOS 6 e 7, considere restringir o acesso ao endpoint da API “/cwp {SESSION HASH}/admin/loader ajax.php” até que uma correção esteja disponível. Como solução temporária, evite usar o parâmetro
term no endpoint da API afetado para minimizar o risco de exploração.Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Centos Web Panel