PT-2020-12541 · Ipear · Ipear
Yabobjonez
·
Publicado
2020-07-14
·
Atualizado
2021-11-04
·
CVE-2020-11084
CVSS v3.1
6.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
iPear (versões afetadas não especificadas)
Descrição
A execução manual da função eval() no iPear pode levar à injeção de comando, permitindo a execução de qualquer código PHP dentro do iPear. Isso pode resultar em alteração, danos ou roubo de dados do computador. Apenas os computadores nos quais os comandos são executados manualmente através da seção “Para desenvolvedores” são afetados.
Recomendações
Para o iPear, considere desativar a execução manual da função eval() por meio de “Para desenvolvedores” para minimizar o risco de injeção de comando até que um patch esteja disponível.
Restrinja o acesso ao recurso “Para desenvolvedores” para impedir a execução não autorizada de código PHP.
Evite usar a função eval() no iPear até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Command Injection
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Ipear