CVE-2020-12852

Pydio Cells versão 2.0.4

O recurso de atualização do Pydio Cells permite que um usuário administrador defina uma URL de atualização personalizada e a chave RSA pública usada para validar o pacote de atualização baixado. O processo de atualização envolve baixar o arquivo binário atualizado de uma URL indicada na resposta do servidor de atualização, validar sua soma de verificação e assinatura com a chave pública fornecida e, finalmente, substituir o binário atual do aplicativo. Para concluir o processo de atualização, o serviço ou dispositivo do aplicativo precisa ser reiniciado. Um invasor com acesso de administrador pode aproveitar o recurso de atualização de software para forçar o aplicativo a baixar um binário personalizado que substituirá o binário atual do Pydio Cells. Quando o servidor ou serviço for reiniciado, o invasor poderá executar código com os privilégios do usuário que está executando o aplicativo, que é o usuário chamado “pydio” no dispositivo empresarial do Pydio Cells.

Para a versão 2.0.4 do Pydio Cells, considere desativar o recurso de atualização até que um patch esteja disponível para impedir que um invasor aproveite esse recurso para executar código com os privilégios do usuário que está executando o aplicativo. Restrinja o acesso ao recurso de atualização para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.