PT-2020-14939 · Apache+1 · Apache Tomcat+1
Ivathmican Sivakumaran
+1
·
Publicado
2020-08-10
·
Atualizado
2020-08-28
·
CVE-2020-17388
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Marvell QConvergeConsole versão 5.5.0.64
Descrição
Esta vulnerabilidade permite que invasores remotos executem código arbitrário nas instalações afetadas. Embora seja necessária autenticação para explorar esta vulnerabilidade, o mecanismo de autenticação existente pode ser contornado. A falha específica existe no arquivo de configuração do Tomcat devido à falta de restrições adequadas ao console de administração do Tomcat. Um invasor pode aproveitar esta vulnerabilidade para executar código no contexto do SYSTEM.
Recomendações
Para o Marvell QConvergeConsole versão 5.5.0.64, restrinja o acesso ao console de administração do Tomcat para minimizar o risco de exploração. Considere implementar restrições adequadas no arquivo de configuração do Tomcat como uma solução temporária até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Marvell Qconvergeconsole
Apache Tomcat