PT-2020-20435 · Iteris · Iteris Vantage Velocity Field Unit
Publicado
2020-02-17
·
Atualizado
2020-02-19
·
CVE-2020-9020
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Iteris Vantage Velocity Field Unit versões 2.3.1, 2.4.2 e 3.0
Descrição
A vulnerabilidade permite a injeção de comandos do sistema operacional no arquivo “cgi-bin/timeconfig.py” por meio de metacaracteres de shell no campo
NTP Server.Recomendações
Para a Iteris Vantage Velocity Field Unit versão 2.3.1, evite usar metacaracteres de shell no campo
NTP Server.Para a Iteris Vantage Velocity Field Unit versão 2.4.2, evite usar metacaracteres de shell no campo
NTP Server.Para a Iteris Vantage Velocity Field Unit versão 3.0, evite usar metacaracteres de shell no campo
NTP Server.Como solução alternativa temporária, considere restringir o acesso ao endpoint “cgi-bin/timeconfig.py” até que um patch esteja disponível.
Exploit
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Iteris Vantage Velocity Field Unit