PT-2020-20080 · Backblaze · Backblaze For Macos+1
Jason Geffner
·
Publicado
2020-12-27
·
Atualizado
2020-12-31
·
CVE-2020-8289
CVSS v2.0
9.3
Alta
| Vetor | AV:N/AC:M/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Backblaze para Windows, versões anteriores à 7.0.1.433
Backblaze para macOS, versões anteriores à 7.0.1.434
Descrição
O problema decorre da validação incorreta de certificados no auxiliar
bztransmit, causada por uma lista de permissões (whitelist) de strings codificada em URLs onde a validação está desativada. Isso poderia levar à possível execução remota de código por meio da funcionalidade de atualização do cliente.Recomendações
Para versões do Backblaze para Windows anteriores à 7.0.1.433, atualize para a versão 7.0.1.433 ou posterior.
Para versões do Backblaze para macOS anteriores à 7.0.1.434, atualize para a versão 7.0.1.434 ou posterior.
Como solução alternativa temporária, considere desativar o auxiliar
bztransmit até que um patch esteja disponível.Exploit
Correção
Improper Certificate Validation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Backblaze For Windows
Backblaze For Macos