PT-2020-17240 · Lan · Lan Atmservice M3 Atm Monitoring System
Dmitry Kuramin
·
Publicado
2020-12-10
·
Atualizado
2020-12-14
·
CVE-2020-29666
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Sistema de monitoramento de caixas eletrônicos Lan ATMService M3, versão 6.1.0
Descrição
Uma falha na listagem de diretórios permite que um invasor remoto visualize os arquivos de log localizados em
/websocket/logs/, que contêm os valores dos cookies dos usuários e o valor do cookie predefinido do desenvolvedor.Recomendações
Para o Sistema de Monitoramento de ATM Lan ATMService M3 versão 6.1.0, considere restringir o acesso ao diretório
/websocket/logs/ para impedir a visualização não autorizada dos arquivos de log até que uma correção esteja disponível. Como solução alternativa temporária, restrinja o acesso ao módulo websocket vulnerável para minimizar o risco de exploração.Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Lan Atmservice M3 Atm Monitoring System