PT-2020-12739 · Primekey · Ejbca
Publicado
2020-04-07
·
Atualizado
2021-07-21
·
CVE-2020-11629
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do EJBCA anteriores à 6.15.2.6
Versões 7.x do EJBCA anteriores à 7.3.1.2
Descrição
Foi descoberta uma falha no Validador de Certificados de Comando Externo, que permite que administradores carreguem linters externos para validar certificados. Esse validador deve salvar os certificados de teste carregados no servidor. No entanto, um invasor que tenha obtido acesso à interface do usuário da CA poderia explorar essa falha para carregar scripts maliciosos no servidor. Os riscos associados a essa falha são insignificantes, a menos que um usuário mal-intencionado já tenha obtido acesso à interface do usuário da CA por outros meios.
Recomendações
Para versões do EJBCA anteriores à 6.15.2.6, atualize para a versão 6.15.2.6 ou posterior para resolver a falha.
Para versões do EJBCA 7.x anteriores à 7.3.1.2, atualize para a versão 7.3.1.2 ou posterior para resolver a falha.
Como solução alternativa temporária, considere restringir o acesso ao Validador de Certificados de Comando Externo para minimizar o risco de exploração.
Correção
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ejbca