PT-2020-18956 · Os4Ed · Opensis
Yuri Kramarz
·
Publicado
2020-09-01
·
Atualizado
2022-05-31
·
CVE-2020-6142
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
OS4Ed openSIS versão 7.3
Descrição
Existe uma vulnerabilidade de execução remota de código na funcionalidade Modules.php, permitindo a inclusão de arquivos locais por meio de uma solicitação HTTP especialmente criada. Isso permite que um invasor envie uma solicitação que desencadeie a vulnerabilidade.
Recomendações
Para o OS4Ed openSIS versão 7.3, considere restringir o acesso à funcionalidade Modules.php até que uma correção esteja disponível. Como solução temporária, evite usar a funcionalidade vulnerável para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Opensis