PT-2020-11992 · Froxlor · Froxlor
Johannes Segitz
·
Publicado
2020-03-09
·
Atualizado
2022-05-24
·
CVE-2020-10236
CVSS v3.1
6.1
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do Froxlor anteriores à 0.10.14
Descrição
Uma falha no processo de instalação do Froxlor permitia que invasores locais causassem negação de serviço (DoS) ou divulgassem informações contidas em arquivos de configuração. Isso ocorria quando o diretório de instalação não era gravável, resultando na criação de arquivos com nomes estáticos no diretório /tmp. A função
createUserdataConf em install/lib/class.FroxlorInstall.php estava envolvida nessa falha.Recomendações
Para versões anteriores à 0.10.14, atualize para a versão 0.10.14 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso de gravação ao diretório /tmp ou garantir que o diretório de instalação seja gravável para minimizar o risco de exploração.
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Froxlor