PT-2020-8911 · Unknown · Traceroute
Publicado
2020-06-25
·
Atualizado
2022-05-24
·
CVE-2018-21268
CVSS v3.1
10
Crítica
| Vetor | AC:L/AV:N/A:L/C:H/I:H/PR:N/S:C/UI:N |
Nome do software vulnerável e versões afetadas
traceroute (também conhecido como node-traceroute) até a versão 1.0.0
Descrição
A vulnerabilidade permite a injeção remota de comandos por meio do parâmetro
host. Isso ocorre devido ao uso do método Child.exec(), considerado não totalmente seguro. Um comando do sistema operacional pode ser inserido após um caractere de nova linha.Recomendações
Para versões até 1.0.0, considere desativar o método
Child.exec() até que um patch esteja disponível. Restrinja o acesso ao parâmetro host para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.Exploit
Correção
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Traceroute