PT-2020-2098 · Apache+5 · Apache Spamassassin+5

Publicado

2020-01-03

·

Atualizado

2024-06-15

·

CVE-2020-1931

CVSS v2.0

9.3

Alta

VetorAV:N/AC:M/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Versões do Apache SpamAssassin anteriores à 3.4.3
Descrição
Foi identificada uma vulnerabilidade de execução de comandos no Apache SpamAssassin, na qual arquivos de configuração cuidadosamente criados podem ser usados para executar comandos do sistema. Essa vulnerabilidade é menos discreta e as tentativas de exploração geram avisos. As explorações podem ser injetadas em vários cenários, embora a exploração remota seja difícil. A falha permite que um invasor possa acessar dados confidenciais, comprometer sua integridade e causar uma negação de serviço.
Recomendações
Para versões anteriores à 3.4.3, atualize para a SA 3.4.4.
Como precaução geral, use apenas canais de atualização ou arquivos de configuração de terceiros provenientes de fontes confiáveis.

Correção

OS Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-78

Identificadores relacionados

ALT-PU-2020-1004
ALT-PU-2020-1005
ALT-PU-2020-1038
ALT-PU-2020-1039
ALT-PU-2020-3094
ALT-PU-2020-3105
ALT-PU-2021-2780
BDU:2020-01959
CESA-2020_4625
CVE-2020-1931
DLA-2107-1
DSA-4615-1
MGASA-2020-0079
OPENSUSE-SU-2020:0446-1
OPENSUSE-SU-2020_0446-1
OPENSUSE-SU-2024:11395-1
RHSA-2020:4625
RHSA-2020_4625
SUSE-SU-2020:0810-1
SUSE-SU-2020:0811-1
SUSE-SU-2020:0813-1
USN-4265-1
USN-4265-2

Produtos afetados

Alt Linux
Apache Spamassassin
Centos
Red Hat
Suse
Ubuntu