PT-2020-3002 · Gnu+7 · Gnu Mailman+7

Mark Sapiro

·

Publicado

2020-06-08

·

Atualizado

2021-12-01

·

CVE-2020-15011

CVSS v3.1

5.5

Média

VetorAV:L/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
Nome do software vulnerável e versões afetadas
Versões do GNU Mailman anteriores à 2.1.33
Descrição
A vulnerabilidade existe devido à validação insuficiente de entradas na página de login do arquivo privado Cgi/private.py do sistema de gerenciamento de listas de discussão GNU Mailman. Isso permite que um invasor remoto injete conteúdo arbitrário por meio de uma solicitação especialmente criada.
Recomendações
Para versões do GNU Mailman anteriores à 2.1.33, atualize para a versão 2.1.33 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à página de login do arquivo privado Cgi/private.py para minimizar o risco de exploração.

Correção

Code Injection

Special Elements Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-94CWE-74

Identificadores relacionados

ALT-PU-2020-2129
ALT-PU-2021-2036
ALT-PU-2021-2340
BDU:2020-03224
CESA-2021_1751
CVE-2020-15011
DLA-2265-1
DLA-2276-1
DSA-4991-1
MGASA-2020-0276
OESA-2021-1405
OPENSUSE-SU-2020:1707-1
OPENSUSE-SU-2020:1752-1
OPENSUSE-SU-2020_1707-1
RHSA-2021:1751
RHSA-2021_1751
RLSA-2021:1751
SUSE-SU-2020:14423-1
SUSE-SU-2020:2048-1
SUSE-SU-2020_14423-1
SUSE-SU-2020_2048-1
USN-4406-1
USN-5121-2

Produtos afetados

Alt Linux
Centos
Gnu Mailman
Linuxmint
Red Hat
Rocky Linux
Suse
Ubuntu