PT-2020-13295 · Pydio · Pydio Cells Enterprise Ovf
Publicado
2020-06-11
·
Atualizado
2020-06-22
·
CVE-2020-12850
CVSS v3.1
7.0
Alta
| Vetor | AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Pydio Cells Enterprise OVF versão 2.0.4
Pydio Cells Enterprise OVF versões anteriores à 2.0.4
Descrição
O problema diz respeito a permissões inseguras que poderiam permitir a escalada de privilégios locais. Na versão 2.0.4 do dispositivo, o usuário
pydio é responsável por executar serviços e binários, incluindo mysqld e cells, com privilégios restritos. As versões anteriores possuem uma restrição de política mais flexível, permitindo que o usuário pydio execute qualquer comando com privilégios usando sudo.Recomendações
Para o Pydio Cells Enterprise OVF versão 2.0.4, considere restringir os privilégios do usuário
pydio para executar apenas os serviços e binários necessários.Para versões do Pydio Cells Enterprise OVF anteriores à 2.0.4, atualize a restrição de política para limitar a capacidade do usuário
pydio de executar comandos privilegiados usando sudo.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Pydio Cells Enterprise Ovf