PT-2020-9297 · Smartbear · Soapui+1
Publicado
2020-02-05
·
Atualizado
2020-08-24
·
CVE-2019-12180
CVSS v2.0
9.3
Alta
| Vetor | AV:N/AC:M/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
SmartBear ReadyAPI, versões 2.8.2 a 3.0.0
SoapUI, versão 5.5
Descrição
Foi descoberta uma vulnerabilidade que permite que um invasor execute código arbitrário na linguagem Groovy na máquina da vítima, induzindo-a a abrir um projeto malicioso. Isso ocorre porque o comando “Load Script” do Groovy é executado automaticamente ao abrir um projeto. A mesma vulnerabilidade está presente na função “Save Script”, que é executada automaticamente ao salvar um projeto.
Recomendações
Para as versões 2.8.2 a 3.0.0 do SmartBear ReadyAPI, considere desativar as funções “Load Script” e “Save Script” do Groovy até que um patch esteja disponível.
Para a versão 5.5 do SoapUI, considere desativar as funções “Load Script” e “Save Script” do Groovy até que um patch esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Smartbear Readyapi
Soapui