CVE-2020-15593

SteelCentral Aternity Agent versão 11.0.0.120

O problema diz respeito ao tratamento inadequado da comunicação entre processos (IPC) pelo SteelCentral Aternity Agent. Isso permite que qualquer usuário no sistema acesse o canal de comunicação entre processos AternityAgentAssistantIpc, recupere um objeto serializado e chame métodos do objeto remotamente. Isso permite que os usuários realizem várias ações, incluindo a criação e/ou sobrescrita de arquivos XML arbitrários em todo o sistema, a criação de diretórios arbitrários e o carregamento de plug-ins arbitrários (assembléias C#) de um diretório específico, bem como a execução do código contido neles.

Para o SteelCentral Aternity Agent versão 11.0.0.120, considere restringir o acesso ao canal de comunicação entre processos AternityAgentAssistantIpc para impedir que usuários não autorizados acessem e manipulem o sistema. Além disso, limite a capacidade de carregar e executar plug-ins do diretório “%PROGRAMFILES(X86)/Aternity Information Systems/Assistant/plugins” para minimizar o risco de execução de código arbitrário. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.