PT-2020-13653 · Quickbox+1 · Quickbox Community Edition+2
Publicado
2020-06-01
·
Atualizado
2021-07-21
·
CVE-2020-13695
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
QuickBox Community Edition versões 2.5.5 e anteriores
QuickBox Pro Edition versões 2.1.8 e anteriores
Descrição
A vulnerabilidade permite que um invasor obtenha informações confidenciais explorando os privilégios sudo do usuário local www-data para executar o
grep como root sem senha. Isso pode ser feito por meio de um grep em um arquivo /root/*.db ou /etc/shadow.Recomendações
Para as versões 2.5.5 e anteriores do QuickBox Community Edition, remova os privilégios sudo do usuário www-data para executar o
grep como root sem senha.Para as versões 2.1.8 e anteriores do QuickBox Pro Edition, remova os privilégios sudo do usuário www-data para executar o
grep como root sem senha.Exploit
Correção
Improper Privilege Management
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Quickbox Community Edition
Quickbox Pro Edition
Grep