PT-2020-9192 · Poly · Poly Hdx
Publicado
2020-03-12
·
Atualizado
2020-03-18
·
CVE-2019-11355
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Poly (anteriormente Polycom) HDX versão 3.1.13
Descrição
Existe uma vulnerabilidade na página do administrador, onde um recurso permite a criação ou o upload de certificados de servidor/cliente. O valor inserido pelo usuário é utilizado em um script de shell no equipamento e, ao inserir um caractere especial, como uma aspa simples, em um campo CN ou outro campo CSR, um comando pode ser inserido no valor de um parâmetro. Isso permite que um comando do sistema seja executado como root.
Recomendações
Para o Poly (anteriormente Polycom) HDX versão 3.1.13, considere restringir o acesso ao recurso de criação e upload de certificados na página do administrador até que uma correção esteja disponível. Como solução alternativa temporária, evite usar caracteres especiais nos campos CN ou CSR para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Poly Hdx