PT-2020-17241 · Lanit · Lan Atmservice M3 Atm Monitoring System
Dmitry Kuramin
·
Publicado
2020-12-10
·
Atualizado
2020-12-14
·
CVE-2020-29667
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Sistema de monitoramento de caixas eletrônicos Lan ATMService M3, versão 6.1.0
Descrição
A vulnerabilidade permite que um invasor remoto assuma o controle do sistema devido a um tempo de expiração de sessão insuficiente. Isso pode ser feito utilizando um valor de cookie padrão, como
PHPSESSID=LANIT-IMANAGER.Recomendações
Para o Sistema de Monitoramento de ATM Lan ATMService M3 versão 6.1.0, considere alterar o valor padrão do cookie para um valor único e seguro, a fim de impedir o acesso não autorizado. Como solução temporária, restrinja o acesso ao sistema até que uma correção esteja disponível. Evite usar o valor padrão
PHPSESSID no sistema afetado até que o problema seja resolvido.Exploit
Correção
Insufficient Session Expiration
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Lan Atmservice M3 Atm Monitoring System