PT-2020-12741 · Primekey · Ejbca
Publicado
2020-04-07
·
Atualizado
2021-07-21
·
CVE-2020-11631
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do EJBCA anteriores à 6.15.2.6
Versões 7.x do EJBCA anteriores à 7.3.1.2
Descrição
Uma falha permite que um usuário mal-intencionado gere um estado de erro na interface do usuário da CA, o que pode ser explorado para levar à escalada de privilégios e à execução remota de código. Isso só pode ser explorado quando pelo menos uma porta acessível não exige autenticação por certificado de cliente, como as portas 8442 ou 8080 em uma instalação padrão.
Recomendações
Para versões do EJBCA anteriores à 6.15.2.6, atualize para a versão 6.15.2.6 ou posterior.
Para versões 7.x do EJBCA anteriores à 7.3.1.2, atualize para a versão 7.3.1.2 ou posterior.
Como solução alternativa temporária, considere exigir a autenticação por certificado de cliente para todas as portas acessíveis, como 8442 e 8080, para minimizar o risco de exploração.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Ejbca