PT-2020-15668 · Symmetric Ds · Symmetric Ds
Greendog
·
Publicado
2020-10-05
·
Atualizado
2020-10-20
·
CVE-2020-24231
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Symmetric DS anteriores à 3.12.0
Descrição
A vulnerabilidade permite que um invasor interaja com o JMX, o que pode levar à execução de código arbitrário. Isso é possível porque o mx4j, usado pelo Symmetric DS para fornecer acesso ao JMX via HTTP, não possui autenticação por padrão e está disponível em todas as interfaces. Um invasor pode obter informações do sistema, invocar métodos MBean e instalar MBeans adicionais a partir de um host remoto usando o MLet.
Recomendações
Para versões do Symmetric DS anteriores à 3.12.0, considere desativar o acesso ao JMX via HTTP ou restringi-lo a interfaces específicas e implementar autenticação para impedir o acesso não autorizado. Como solução alternativa temporária, considere desativar a funcionalidade MLet para impedir a instalação de MBeans adicionais a partir de hosts remotos.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Symmetric Ds