PT-2020-15985 · Observium · Observium
Maciej Domański
·
Publicado
2020-09-25
·
Atualizado
2020-09-30
·
CVE-2020-25149
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Observium Professional, Enterprise e Community, versão 20.8.10631
Descrição
A vulnerabilidade permite a traversal de diretórios e a inclusão de arquivos locais devido ao carregamento irrestrito de arquivos com a extensão inc.php. Isso pode levar à execução remota de código. A vulnerabilidade pode ser explorada por meio do endpoint da API “/device/device=345/?tab=health&metric=../” devido ao arquivo device/health.inc.php.
Recomendações
Para o Observium Professional, Enterprise e Community versão 20.8.10631, restrinja o acesso ao arquivo device/health.inc.php para minimizar o risco de exploração. Evite usar o parâmetro metric no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Unrestricted File Upload
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Observium