PT-2020-18753 · Artica · Pandora Fms
Thecybergeek
·
Publicado
2020-03-16
·
Atualizado
2022-11-29
·
CVE-2020-5844
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Pandora FMS versão 7.0NG.742 FIX PERL2020
Descrição
A vulnerabilidade permite que administradores autenticados enviem scripts PHP maliciosos e os executem por meio da decodificação base64 da localização do arquivo. Isso é feito através do endpoint
index.php?sec=godmode/extensions&sec2=extensions/files repo.Recomendações
Para a versão 7.0NG.742 FIX PERL2020, considere restringir o acesso ao endpoint
index.php?sec=godmode/extensions&sec2=extensions/files repo para impedir o upload de scripts maliciosos até que um patch esteja disponível. Como solução temporária, desativar a capacidade de enviar arquivos por meio desse endpoint pode minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Pandora Fms