PT-2020-15969 · Observium · Observium
Mariusz Popławski
·
Publicado
2020-09-25
·
Atualizado
2020-09-30
·
CVE-2020-25133
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Observium Professional, Enterprise e Community, versão 20.8.10631
Descrição
A vulnerabilidade diz respeito à traversal de diretórios e inclusão de arquivos locais, permitindo o carregamento irrestrito de arquivos com a extensão inc.php. Isso pode levar à execução remota de código. A vulnerabilidade pode ser explorada por meio da URI “/ports/?format=../”, afetando páginas como “pages/ports.inc.php”.
Recomendações
Para o Observium Professional, Enterprise & Community versão 20.8.10631, restrinja o acesso ao endpoint
/ports/ para minimizar o risco de exploração. Evite usar o parâmetro format no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Unrestricted File Upload
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Observium