PT-2020-12496 · Intel · Intelmq Manager
Bernhard Herzog
·
Publicado
2020-04-30
·
Atualizado
2020-05-06
·
CVE-2020-11016
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:H/A:L |
Nome do software vulnerável e versões afetadas
IntelMQ Manager, versões 1.1.0 a 2.1.0
Descrição
O problema decorre do tratamento incorreto, por parte do backend, das mensagens inseridas pelo usuário na funcionalidade “enviar” da ferramenta Inspect do componente Monitor. Isso poderia permitir que um invasor com acesso ao IntelMQ Manager executasse código arbitrário com os privilégios do servidor web.
Recomendações
Para as versões 1.1.0 a 2.1.0 do IntelMQ Manager, atualize para a versão 2.1.1 para corrigir a vulnerabilidade.
Como solução temporária, considere restringir o acesso à ferramenta Inspect do componente Monitor até que a atualização seja aplicada.
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Intelmq Manager