PT-2020-12323 · Openitcockpit · Openitcockpit
Dejan Zelic
·
Publicado
2020-03-25
·
Atualizado
2020-03-30
·
CVE-2020-10789
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do openITCOCKPIT anteriores à 3.7.3
Descrição
A vulnerabilidade permite que invasores executem comandos arbitrários do sistema operacional por meio de metacaracteres de shell que são processados incorretamente na linha de comando
su no arquivo app/Lib/SudoMessageInterface.php. Isso está relacionado a um terminal baseado na web no openITCOCKPIT.Recomendações
Para versões anteriores à 3.7.3, atualize para a versão 3.7.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao terminal baseado na web até que um patch seja aplicado. Além disso, tenha cuidado ao usar o comando
su e garanta o tratamento adequado dos metacaracteres do shell para minimizar o risco de exploração.Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Openitcockpit