PT-2020-19720 · Mock2Easy · Mock2Easy
Publicado
2020-07-29
·
Atualizado
2021-07-21
·
CVE-2020-7697
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do mock2easy anteriores à 0.0.25
Descrição
A vulnerabilidade permite que um usuário mal-intencionado injete comandos por meio da variável
data. Isso é possível na área afetada do código, especificamente onde a função require(‘../server/getJsonByCurl’) é chamada com entradas controladas pelo usuário provenientes de data.interfaceUrl, data.cookie e data.interfaceType.Recomendações
Para versões anteriores à 0.0.25, considere validar e sanitizar a variável
data para impedir a injeção de comandos. Como solução temporária, restrinja o acesso à função require(‘../server/getJsonByCurl’) para minimizar o risco de exploração. Certifique-se de que todas as entradas controladas pelo usuário sejam devidamente validadas para impedir a injeção de comandos maliciosos.Exploit
Correção
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mock2Easy