PT-2020-9137 · Unknown · Networkmanager

Publicado

2020-02-04

·

Atualizado

2021-07-21

·

CVE-2019-10786

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do network-manager até a 1.0.2
Descrição
A vulnerabilidade permite que invasores remotos executem comandos arbitrários por meio do argumento execSync(). Isso possibilita que os invasores possam obter controle sobre o sistema, permitindo-lhes realizar ações maliciosas.
Recomendações
Para as versões do network-manager até a 1.0.2, como solução temporária, considere desativar o uso do argumento execSync() até que um patch esteja disponível. Restrinja o acesso ao network-manager para minimizar o risco de exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

RCE

OS Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20CWE-78

Identificadores relacionados

CVE-2019-10786
GHSA-PH32-23P8-9RW5
SNYK-JS-NETWORKMANAGER-544035

Produtos afetados

Networkmanager