PT-2020-9369 · Cisofy · Lynis
Sander Bos
·
Publicado
2020-06-18
·
Atualizado
2024-06-15
·
CVE-2019-13033
CVSS v3.1
3.3
Baixa
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
**Nome do software vulnerável e versões afetadas:
CISOfy Lynis, versões 2.x a 2.7.5
Descrição:
A vulnerabilidade permite que um invasor obtenha a chave de licença ao examinar a lista de processos durante um upload de dados. Essa chave de licença pode então ser usada para enviar dados a um servidor Lynis central, possibilitando potencialmente o upload de dados de varredura adicionais. No entanto, ressalta-se que o conhecimento da chave de licença não permite a extração de dados.
Recomendações:
Para as versões 2.x a 2.7.5 do CISOfy Lynis, considere restringir o acesso à lista de processos durante o upload de dados para minimizar o risco de a chave de licença ser obtida. Como solução temporária, restrinja a capacidade de enviar dados para o servidor central do Lynis até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Lynis