CVE-2019-17102

Versões do Bitdefender BOX 2 anteriores à 2.1.47.36

Existe uma vulnerabilidade de execução de comando explorável na partição de recuperação devido a uma condição de corrida no endpoint da API /api/update setup. Isso permite a execução arbitrária de comandos do sistema, pois o método da API não realiza verificações de assinatura de firmware de forma atômica, levando a uma vulnerabilidade do tipo Time-of-Check-to-Time-of-Use (TOCTTOU).

Para versões do Bitdefender BOX 2 anteriores à 2.1.47.36, atualize para a versão 2.1.47.36 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint da API /api/update setup até que a atualização possa ser aplicada.