PT-2020-14498 · Terramaster · Terramaster Tos
Publicado
2020-08-16
·
Atualizado
2021-07-21
·
CVE-2020-15568
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do TerraMaster TOS anteriores à 4.1.29
Descrição
O problema está relacionado à verificação de parâmetros inválidos, o que leva à injeção de código como root. Trata-se de uma vulnerabilidade de invocação dinâmica de método de classe no arquivo include/exportUser.php. Um invasor pode acionar uma chamada ao método
exec com comandos do sistema operacional no parâmetro opt.Recomendações
Para versões anteriores à 4.1.29, atualize para a versão 4.1.29 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao arquivo
include/exportUser.php para minimizar o risco de exploração. Evite usar o parâmetro opt no endpoint da API afetado até que o problema seja resolvido.Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Terramaster Tos