CVE-2020-14414

NeDi versão 1.9C

A vulnerabilidade permite a execução remota de comandos devido à escapada inadequada de metacaracteres de shell em uma solicitação POST no arquivo pwsec.php. Um invasor pode explorar essa vulnerabilidade enviando uma carga maliciosa contendo metacaracteres de shell por meio de uma solicitação POST com o parâmetro pw. Isso também pode ser explorado por meio de falsificação de solicitação entre sites (CSRF).

Para a versão 1.9C do NeDi, como solução temporária, considere restringir o acesso ao arquivo pwsec.php para minimizar o risco de exploração. Evite usar o parâmetro pw na solicitação POST afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.