CVE-2019-11215

Combodo iTop, versões 2.2.0 a 2.6.0

A vulnerabilidade permite a execução de código arbitrário ao chamar “ajax.dataloader” com uma carga maliciosamente criada, caso o arquivo de configuração seja gravável. Várias condições podem tornar o arquivo de configuração gravável, incluindo durante a instalação, atualização ou quando ocorre um erro durante a modificação do arquivo pela interface web, o que pode ser desencadeado por XSS. Além disso, uma condição de corrida pode ser desencadeada pelo módulo hub-connector na versão community de 2.4.1 a 2.6.0, ou ao editar o arquivo em uma CLI.

Para as versões 2.2.0 a 2.6.0 do Combodo iTop, considere restringir o acesso ao endpoint “ajax.dataloader” até que uma correção esteja disponível. Como solução alternativa temporária, certifique-se de que o arquivo de configuração não seja gravável para evitar a exploração. Restrinja o acesso ao módulo hub-connector nas versões comunitárias de 2.4.1 a 2.6.0 para minimizar o risco da condição de corrida. Evite usar a interface web para modificar o arquivo de configuração até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.