PT-2020-6292 · Micro Focus · Operation Bridge Reporter
Pedrib1337
+1
·
Publicado
2020-09-30
·
Atualizado
2025-03-12
·
CVE-2021-22502
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Micro Focus Operation Bridge Reporter versão 10.40
Descrição
O problema está relacionado a uma vulnerabilidade de execução remota de código no produto Micro Focus Operation Bridge Reporter. Ela poderia ser explorada para permitir a execução remota de código no servidor OBR. A vulnerabilidade está associada ao tratamento incorreto de parâmetros no endpoint
LogonResource. Isso poderia permitir que um invasor remoto executasse código arbitrário.Recomendações
Para a versão 10.40, considere desativar o endpoint
LogonResource ou restringir o acesso a ele até que uma correção esteja disponível. Além disso, tenha cuidado ao usar os parâmetros userName e token nos endpoints da API afetados para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
RCE
Code Injection
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Operation Bridge Reporter