PT-2020-13222 · Ciphermail · Ciphermail Webmail Messenger+2
Pablo A. Zurro
·
Publicado
2020-06-11
·
Atualizado
2020-06-22
·
CVE-2020-12713
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
CipherMail Community Gateway e Professional/Enterprise Gateway, versões 1.0.1 a 4.7.1-0
CipherMail Webmail Messenger, versões 1.1.1 a 3.1.1-0
Descrição
Foi descoberta uma vulnerabilidade que permite que invasores com acesso administrativo à interface web elevem seus privilégios para a conta root do Unix. Isso é possível devido às múltiplas opções disponíveis aos invasores.
Recomendações
Para o CipherMail Community Gateway e Professional/Enterprise Gateway, versões 1.0.1 a 4.7.1-0, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões 1.1.1 a 3.1.1-0 do CipherMail Webmail Messenger, atualize para uma versão fora desse intervalo para mitigar o risco.
Como solução alternativa temporária, considere restringir o acesso administrativo à interface web até que um patch esteja disponível.
Exploit
Correção
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ciphermail Community Gateway
Ciphermail Professional/Enterprise Gateway
Ciphermail Webmail Messenger