PT-2020-14563 · Marvell · Marvell Qconvergeconsole
Rgod
·
Publicado
2020-08-10
·
Atualizado
2020-08-28
·
CVE-2020-15641
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Marvell QConvergeConsole versão 5.5.0.64
Descrição
Esta vulnerabilidade permite que invasores remotos divulguem informações confidenciais nas instalações afetadas. Não é necessária autenticação para explorar esta vulnerabilidade. A falha específica existe no método
getFileUploadBytes da classe FlashValidatorServiceImpl. A vulnerabilidade resulta da falta de validação adequada de um caminho fornecido pelo usuário antes de usá-lo em operações de arquivo. Um invasor pode aproveitar esta vulnerabilidade para divulgar credenciais armazenadas, levando a um comprometimento adicional.Recomendações
Para o Marvell QConvergeConsole versão 5.5.0.64, considere restringir o acesso ao método
getFileUploadBytes da classe FlashValidatorServiceImpl até que um patch esteja disponível. Além disso, garanta a validação adequada dos caminhos fornecidos pelo usuário em operações com arquivos para evitar ataques de traversal de diretório. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Marvell Qconvergeconsole