PT-2020-16247 · Qualcomm · Qcmap
Publicado
2020-10-15
·
Atualizado
2020-10-28
·
CVE-2020-25859
CVSS v2.0
7.2
Alta
| Vetor | AV:L/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do pacote de software Qualcomm QCMAP anteriores a outubro de 2020
Descrição
O utilitário QCMAP CLI do pacote de software Qualcomm QCMAP apresenta uma falha na qual utiliza uma chamada system() sem validar a entrada ao processar uma solicitação SetGatewayUrl(). Isso permite que um invasor local com acesso ao shell passe metacaracteres do shell e execute comandos arbitrários. Se o QCMAP CLI puder ser executado via sudo ou setuid, isso também permite a elevação de privilégios para root. O software afetado é utilizado em vários dispositivos de rede, incluindo hotspots móveis e roteadores LTE.
Recomendações
Para versões anteriores a outubro de 2020, considere restringir o acesso ao utilitário QCMAP CLI para impedir que invasores locais explorem essa vulnerabilidade e evite executar o QCMAP CLI via sudo ou setuid para minimizar o risco de elevação de privilégios. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Qcmap