CVE-2020-8949

Gocloud S2A WL versão 4.2.7.16471

Gocloud S2A versões 4.2.7.17278, 4.3.0.15815, 4.3.0.17193

Gocloud S3A K2P MTK versão 4.2.7.16528

Gocloud S3A versão 4.3.0.16572

Gocloud ISP3000 versão 4.3.0.17190

A vulnerabilidade permite que invasores remotos executem comandos arbitrários do sistema operacional por meio de metacaracteres do shell em uma operação de ping. Isso pode ser demonstrado pela subcadeia “cgi-bin/webui/admin/tools/app ping/diag ping/”.

Para o Gocloud S2A WL versão 4.2.7.16471, considere desativar a operação ping no endpoint webui/admin/tools/app ping/diag ping/ até que um patch esteja disponível.

Para as versões 4.2.7.17278, 4.3.0.15815 e 4.3.0.17193 do Gocloud S2A, restrinja o acesso à função diag ping vulnerável para minimizar o risco de exploração.

Para o Gocloud S3A K2P MTK versão 4.2.7.16528, evite usar o módulo app ping no endpoint da API afetado até que o problema seja resolvido.

Para o Gocloud S3A versão 4.3.0.16572, considere desativar temporariamente o módulo webui/admin/tools para impedir a exploração.

Para o Gocloud ISP3000 versão 4.3.0.17190, restrinja o acesso ao endpoint cgi-bin/webui/admin/tools/app ping/diag ping/ para minimizar o risco de exploração.