PT-2020-2801 · Umount+1 · Umount+1
Publicado
2020-04-02
·
Atualizado
2022-04-22
·
CVE-2020-7628
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
umount, versões 1.1.0 a 1.1.6
install-package, versões 1.1.0 a 1.1.6
Descrição
O problema está relacionado à injeção de comando. O argumento
device pode ser controlado por usuários sem sanitização, permitindo a execução de comandos arbitrários por meio da função device. Isso pode permitir que invasores remotos executem código arbitrário no sistema se o valor device passado para a função for controlado pelo usuário.Recomendações
Para as versões 1.1.0 a 1.1.6 do umount, considere usar um pacote alternativo até que uma correção seja disponibilizada.
Para as versões 1.1.0 a 1.1.6 do install-package, considere usar um pacote alternativo até que uma correção seja disponibilizada.
Como solução temporária, considere restringir o uso da função
device no módulo umount para minimizar o risco de exploração.Correção
XSS
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Package Installer
Umount