PT-2020-16955 · Cellinx · Cellinx Nvt Web Server
Publicado
2020-11-06
·
Atualizado
2020-11-19
·
CVE-2020-28250
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Cellinx NVT Web Server versão 5.0.0.014b.test
Descrição
A vulnerabilidade permite que um usuário remoto execute comandos como root por meio do
SetFileContent.cgi, pois a autenticação é realizada no lado do cliente. Isso significa que as verificações de autenticação são feitas na máquina do cliente, e não no servidor, o que pode ser contornado ou manipulado por um invasor.Recomendações
Para o Cellinx NVT Web Server versão 5.0.0.014b.test, considere desativar o script
SetFileContent.cgi até que um mecanismo de autenticação adequado no lado do servidor seja implementado para impedir o acesso não autorizado. Restrinja o acesso ao endpoint SetFileContent.cgi para minimizar o risco de exploração.Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Cellinx Nvt Web Server