PT-2020-18338 · Openhab · Openhab
Kaikreuzer
·
Publicado
2020-02-20
·
Atualizado
2020-02-26
·
CVE-2020-5242
CVSS v2.0
9.3
Alta
| Vetor | AV:N/AC:M/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do openHAB anteriores à 2.5.2
Descrição
A vulnerabilidade permite que um invasor remoto utilize chamadas REST para instalar o serviço de ligação EXEC ou de transformação EXEC e execute comandos arbitrários no sistema com os privilégios do usuário que está executando o openHAB. A partir da versão 2.5.2, todos os comandos precisam estar na lista de permissões de um arquivo local que não pode ser alterado por meio de chamadas REST.
Recomendações
Para versões anteriores à 2.5.2, atualize para a versão 2.5.2 ou posterior para garantir que os comandos estejam na lista de permissões de um arquivo local e não possam ser alterados por meio de chamadas REST. Como solução temporária, considere restringir o acesso à API REST para minimizar o risco de exploração.
Correção
Incorrect Authorization
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Openhab