PT-2020-20225 · Egurkha · Eg Manager
Publicado
2020-02-03
·
Atualizado
2020-02-06
·
CVE-2020-8591
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
eG Manager versão 7.1.2
Descrição
A vulnerabilidade permite a contornar a autenticação. Isso pode ser feito por meio de uma solicitação ao endpoint
com.egurkha.EgLoginServlet com parâmetros específicos, incluindo uname, upass e accessKey. Por exemplo, uma solicitação com uname=admin, upass= e accessKey=eGm0n1t0r pode contornar a autenticação.Recomendações
Para o eG Manager versão 7.1.2, como solução temporária, considere restringir o acesso ao endpoint
com.egurkha.EgLoginServlet até que uma correção esteja disponível. Evite usar os parâmetros uname, upass e accessKey neste endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Eg Manager