PT-2020-19669 · Ibm · Apiconnect-Cli-Plugins
Publicado
2020-04-06
·
Atualizado
2021-07-21
·
CVE-2020-7633
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
apiconnect-cli-plugins versões 6.0.1 e anteriores
Descrição
A vulnerabilidade permite a execução de comandos arbitrários por meio do argumento
pluginUri, possibilitando a injeção de comandos. Isso pode ser explorado passando uma entrada maliciosa para a função installPlugin(pluginUri, registryUri), localizada no arquivo lib/plugin-loader.js. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado.Recomendações
Para as versões 6.0.1 e anteriores do apiconnect-cli-plugins, considere desativar a função
installPlugin() até que um patch esteja disponível para prevenir ataques de injeção de comando. Restrinja o acesso ao argumento pluginUri para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apiconnect-Cli-Plugins