PT-2020-15830 · Ericsson · Erlang
Publicado
2020-11-12
·
Atualizado
2020-11-30
·
CVE-2020-24719
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Erlang versão 6.5.1
Descrição
A vulnerabilidade permite ataques de execução remota de comandos (RCE) devido a um cookie do Erlang exposto. Esse cookie é um segredo compartilhado, também conhecido como “cookie mágico”, utilizado para a comunicação entre nós do Erlang. Em alguns casos, o cookie mágico é incluído no conteúdo dos logs, o que um invasor pode explorar para se conectar a um nó do Erlang e executar comandos no nível do sistema operacional no sistema que executa o nó do Erlang.
Recomendações
Para a versão 6.5.1, atualize para a versão 6.6.0 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso aos logs que possam conter o cookie mágico para minimizar o risco de exploração.
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Erlang