PT-2020-13846 · Ozeki · Ozeki Ng Sms Gateway
Drunkenshells
·
Publicado
2020-09-22
·
Atualizado
2020-09-26
·
CVE-2020-14022
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Ozeki NG SMS Gateway, versões 4.17.1 a 4.17.6
Descrição
O problema diz respeito à funcionalidade “Importar Contatos”, que não verifica o tipo de arquivo ao importar novos contatos em massa a partir de um arquivo. Isso permite que um invasor envie um arquivo executável ou .bat, que pode então ser executado usando certas funcionalidades dentro do aplicativo, como o módulo “Application Starter”.
Recomendações
Para as versões 4.17.1 a 4.17.6 do Ozeki NG SMS Gateway, considere desativar a funcionalidade “Importar Contatos” até que uma correção esteja disponível para impedir o upload de arquivos maliciosos. Além disso, restrinja o acesso ao módulo “Application Starter” para minimizar o risco de exploração.
Exploit
Correção
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ozeki Ng Sms Gateway