PT-2020-11993 · Froxlor · Froxlor

Johannes Segitz

·

Publicado

2020-03-09

·

Atualizado

2022-05-24

·

CVE-2020-10237

CVSS v3.1

5.5

Média

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do Froxlor anteriores à 0.10.16
Descrição
Foi detectada uma falha em que o instalador gravava parâmetros de configuração, incluindo senhas, em arquivos na diretória /tmp sem as permissões adequadas, permitindo que um invasor local divulgasse as informações caso o arquivo fosse lido no momento certo. Isso se deve à função createUserdataConf em install/lib/class.FroxlorInstall.php.
Recomendações
Para versões do Froxlor anteriores à 0.10.16, atualize para a versão 0.10.16 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao diretório /tmp para minimizar o risco de exploração.

Correção

Information Disclosure

Race Condition

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-200CWE-362

Identificadores relacionados

CVE-2020-10237
GHSA-J9WR-MJ69-CQMV

Produtos afetados

Froxlor