PT-2020-13638 · Digdash Enterprise · Digdash
Florian Nivette
·
Publicado
2020-06-15
·
Atualizado
2021-07-21
·
CVE-2020-13651
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
DigDash versões 2018R2 anteriores à p20200528
DigDash versões 2019R1 anteriores à p20200421
DigDash versões 2019R2 anteriores à p20200430
Descrição
Uma falha permite que um usuário forneça dados que serão usados para gerar o arquivo JNLP utilizado por um cliente para obter o aplicativo Java correto. Ao fornecer uma URL controlada por um invasor, o cliente obterá um arquivo JNLP malicioso que especifica a instalação de arquivos JAR maliciosos e é executado com privilégios totais no computador do cliente.
Recomendações
Para a versão 2018R2 do DigDash anterior à p20200528, atualize para uma versão posterior à p20200528 para resolver o problema.
Para a versão 2019R1 do DigDash anterior à p20200421, atualize para uma versão posterior à p20200421 para resolver o problema.
Para a versão 2019R2 do DigDash anterior à p20200430, atualize para uma versão posterior à p20200430 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao recurso de geração de arquivos JNLP até que um patch esteja disponível.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Digdash