PT-2020-4062 · Nec · Nec Esmpro Manager
Ivathmican Sivakumaran
+1
·
Publicado
2020-06-01
·
Atualizado
2020-07-28
·
CVE-2020-10917
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
**Nome do software vulnerável e versões afetadas:
NEC ESMPRO Manager versão 6.42
Descrição:
Esta vulnerabilidade permite que invasores remotos executem código arbitrário nas instalações afetadas. Não é necessária autenticação para explorar esta vulnerabilidade. A falha específica está presente no serviço RMI e resulta da falta de validação adequada dos dados fornecidos pelo usuário, o que pode levar à deserialização de dados não confiáveis. Um invasor pode aproveitar essa vulnerabilidade para executar código no contexto do SYSTEM.
Recomendações:
Para o NEC ESMPRO Manager versão 6.42, considere desativar o serviço RMI até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao serviço RMI para minimizar o risco de execução remota de código. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Nec Esmpro Manager