PT-2020-19981 · Ubiquiti · Unifi Video Controller
Publicado
2020-04-01
·
Atualizado
2021-07-21
·
CVE-2020-8145
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do UniFi Video Controller anteriores à 3.9.6
Descrição
A funcionalidade de restauração da configuração da interface web do UniFi Video Server nos pontos de extremidade “backup” e “wizard” não implementa verificações de privilégios suficientes. Usuários com privilégios baixos, pertencentes aos grupos
PUBLIC GROUP ou CUSTOM GROUP, podem acessar esses pontos de extremidade e sobrescrever a configuração atual do aplicativo. Isso pode ser explorado para diversos fins, incluindo a adição de novos usuários administrativos.Recomendações
Para versões anteriores à 3.9.6, atualize para a versão 3.9.6 ou mais recente do UniFi Video Controller para resolver o problema. Como solução alternativa temporária, considere restringir o acesso aos pontos de extremidade “backup” e “wizard” para impedir que usuários com privilégios limitados sobrescrevam a configuração do aplicativo.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Unifi Video Controller