PT-2020-14082 · Global Radar · Global Radar Bsa Radar
William Summerhill
·
Publicado
2020-06-22
·
Atualizado
2023-01-30
·
CVE-2020-14946
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Global RADAR BSA Radar, versões 1.6.7234.24750 e anteriores
Descrição
A vulnerabilidade permite que usuários visualizem arquivos locais no servidor web manipulando os parâmetros
FileName e FilePath na URL, ou ao usar um proxy, expondo potencialmente arquivos confidenciais ou de configuração. Isso é possível por meio do downloadFile.ashx na seção Administrador do módulo Vigilância.Recomendações
Para as versões 1.6.7234.24750 e anteriores do Global RADAR BSA Radar, como solução temporária, considere restringir o acesso ao arquivo
downloadFile.ashx na seção Administrador do módulo Vigilância para minimizar o risco de exploração. Evite usar os parâmetros FileName e FilePath na URL afetada até que o problema seja resolvido.Exploit
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Global Radar Bsa Radar