PT-2020-16823 · Qognify · Qognify Ocularis
Joachim Kerschbaumer
+1
·
Publicado
2020-12-29
·
Atualizado
2021-03-26
·
CVE-2020-27868
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Qognify Ocularis versão 5.9.0.395
Descrição
Esta vulnerabilidade permite que invasores remotos executem código arbitrário em instalações afetadas. Não é necessária autenticação para explorar esta vulnerabilidade. A falha está presente no tratamento de objetos serializados fornecidos ao endpoint “EventCoordinator”. A vulnerabilidade resulta da falta de validação adequada dos dados fornecidos pelo usuário, o que pode levar à desserialização de dados não confiáveis. Um invasor pode aproveitar esta vulnerabilidade para executar código no contexto do SYSTEM.
Recomendações
Para o Qognify Ocularis versão 5.9.0.395, considere desativar o endpoint
EventCoordinator até que um patch esteja disponível para impedir a desserialização de dados não confiáveis. Restrinja o acesso à função ConnectedChannel GotMessage para minimizar o risco de exploração. Evite fornecer dados fornecidos pelo usuário ao endpoint EventCoordinator até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Qognify Ocularis