PT-2020-18167 · Ibm · Ibm Data Risk Manager
Publicado
2020-09-22
·
Atualizado
2020-09-22
·
CVE-2020-4620
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
IBM Data Risk Manager (iDNA) versão 2.0.6
Descrição
O problema é causado pela validação inadequada de extensões de arquivo, permitindo que um invasor remoto autenticado faça o upload de arquivos arbitrários. Ao enviar uma solicitação HTTP especialmente criada, um invasor remoto poderia explorar essa vulnerabilidade para fazer o upload de um arquivo malicioso, executando potencialmente código arbitrário no sistema vulnerável.
Recomendações
Para o IBM Data Risk Manager (iDNA) versão 2.0.6, considere restringir o upload de arquivos ou validar extensões de arquivo para impedir uploads de arquivos maliciosos até que uma correção esteja disponível. Como solução alternativa temporária, restrinja o acesso à funcionalidade de upload de arquivos para minimizar o risco de exploração.
Correção
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ibm Data Risk Manager