PT-2020-16813 · Ca · Ca Arcserve D2D
Rgod
·
Publicado
2020-12-04
·
Atualizado
2021-01-27
·
CVE-2020-27858
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
CA Arcserve D2D versão 16.5
Descrição
Esta vulnerabilidade permite que invasores remotos divulguem informações confidenciais nas instalações afetadas. Não é necessária autenticação para explorar esta vulnerabilidade. A falha específica existe no método
getNews, onde a restrição inadequada de referências a Entidades Externas XML (XXE) permite que um documento especialmente criado faça com que o analisador XML acesse um URI especificado e incorpore seu conteúdo de volta ao documento XML. Isso pode ser aproveitado para divulgar informações no contexto do SYSTEM.Recomendações
Para o CA Arcserve D2D versão 16.5, como solução alternativa temporária, considere desativar o método
getNews até que um patch esteja disponível. Restrinja o acesso ao analisador XML para minimizar o risco de exploração. Evite usar referências XXE nos documentos XML afetados até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Correção
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ca Arcserve D2D