CVE-2019-17095

Bitdefender BOX 2, versões 2.1.47.42 a 2.1.53.45

Foi detectada uma vulnerabilidade de injeção de comando na fase de inicialização do software afetado. O método da API /api/download image processa de forma insegura a URL do firmware de produção fornecida por servidores remotos, permitindo a execução arbitrária de comandos do sistema. Um invasor não autenticado pode explorar essa condição se passando por um servidor de infraestrutura. A vulnerabilidade pode ser explorada enviando um arquivo malicioso full ws.tar.gz a partir de um aplicativo de smartphone e criando um servidor falso nimbus.bitdefender.net, permitindo que o invasor execute comandos arbitrários no sistema alvo.

Para as versões 2.1.47.42 a 2.1.53.45, como solução temporária, considere restringir o acesso ao endpoint da API /api/download image até que um patch esteja disponível. Além disso, evite usar o método da API para lidar com URLs de fontes não confiáveis.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.