PT-2020-19204 · Apc · Ups Companion
Publicado
2020-03-23
·
Atualizado
2020-03-27
·
CVE-2020-6650
CVSS v3.1
8.8
Alta
| Vetor | AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões 1.05 e anteriores do software complementar UPS
Descrição
O problema decorre da falha do software em neutralizar adequadamente a sintaxe do código antes de utilizar dados de entrada em uma chamada de avaliação dinâmica, como
eval, dentro da classe Update Manager. Isso ocorre quando o software verifica se há atualizações disponíveis, levando à execução de código arbitrário na máquina onde o software está instalado.Recomendações
Para as versões 1.05 e anteriores do software complementar UPS, como solução temporária, considere desativar a função
eval na classe Update Manager até que um patch esteja disponível. Restrinja o acesso à classe Update Manager para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Code Injection
Eval Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Ups Companion