CVE-2020-12847

Pydio Cells versão 2.0.4

O aplicativo web Pydio Cells possui um console administrativo chamado “Cells Console” que permite que usuários com função de administrador alterem configurações, incluindo a configuração do programa de envio de e-mails do aplicativo. Quando a opção “sendmail” é selecionada, o usuário pode editar o caminho completo para o binário do sendmail. Como não há restrição para a edição desse valor, um usuário administrador autenticado poderia forçar o aplicativo web a executar qualquer binário arbitrário. Isso poderia potencialmente levar à exploração por um invasor com privilégios de administrador.

Para a versão 2.0.4 do Pydio Cells, como solução temporária, considere restringir o acesso às configurações do servidor de e-mail no Cells Console para minimizar o risco de exploração. Evite usar a opção “sendmail” até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.