CVE-2020-24548

**Nome do software vulnerável e versões afetadas:

Ericom Access Server versão 9.2.0

Descrição:

O problema está relacionado à validação insuficiente de solicitações recebidas, permitindo que um invasor execute um ataque de falsificação de solicitação do lado do servidor (SSRF). Isso pode permitir que o invasor faça solicitações de conexão WebSocket de saída em portas TCP arbitrárias. O servidor exibe mensagens de erro, como notificações do tipo “Não é possível conectar-se a”, que podem informar o invasor sobre portas fechadas.

Recomendações:

Para o Ericom Access Server versão 9.2.0, considere restringir o acesso à funcionalidade de conexão WebSocket para minimizar o risco de ataques SSRF até que uma correção esteja disponível. Como solução temporária, desativar conexões de saída em portas TCP arbitrárias pode ajudar a mitigar o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.