PT-2020-14564 · Marvell · Marvell Qconvergeconsole
Rgod
·
Publicado
2020-08-10
·
Atualizado
2021-11-18
·
CVE-2020-15642
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Marvell QConvergeConsole versão 5.5.0.64
Descrição
Esta vulnerabilidade permite que invasores remotos executem código arbitrário nas instalações afetadas. Embora seja necessária autenticação para explorar esta vulnerabilidade, o mecanismo de autenticação existente pode ser contornado. A falha específica existe no método
isHPSmartComponent da classe GWTTestServiceImpl. A vulnerabilidade resulta da falta de validação adequada de uma string fornecida pelo usuário antes de usá-la para executar uma chamada de sistema. Um invasor pode aproveitar essa vulnerabilidade para executar código no contexto do SYSTEM.Recomendações
Para o Marvell QConvergeConsole versão 5.5.0.64, como solução temporária, considere desativar o método
isHPSmartComponent da classe GWTTestServiceImpl até que um patch esteja disponível. Restrinja o acesso à classe GWTTestServiceImpl para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Correção
Command Injection
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Marvell Qconvergeconsole